3. taraf risk yönetimi, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
İzinsiz giriş, Çin’in uygun gruplarına bağlı saldırılarda kullanılmış Shadowpad kötü amaçlı yazılımı
Mathew J. Schwartz (Euroinfosec) •
9 Haziran 2025
Siber güvenlik firması Sentinelone, şüpheli Çinli saldırganların bir lojistik firmasına çalışanlarına donanım sağlamak için kullanıldığını söyledi. Şirket, izinsiz girişin kendi şirket ağının sızmasına neden olmadığı görülüyor.
Ayrıca bakınız: Üçüncü taraf risk yönetiminde ortaya çıkan tehditlerin izlenmesi ve azaltılması
Sentinelone’daki araştırmacılar Pazartesi günü yaptığı açıklamada, şirketin Purplehaze olarak izlediği etkinliğe bağlı bir Ekim keşif operasyonu ile başlayarak grup tarafından en az iki kez hedeflendiğini söyledi. Bunu bu yılın başlarında Sentinelone çalışanları için donanım lojistik sağlayan BT hizmetleri ve lojistik şirketinin ihlali izledi.
Sentinelone, firmayı hack saldırısına karşı uyardığını ve “Sentinelone’un altyapısı, yazılım ve donanım varlıkları hakkında kapsamlı bir soruşturma, uzlaşma kanıtı bulamadı.”
Aynı bilgisayar korsanları, Haziran 2024’te ve yine Ekim 2024’te “Birden fazla sektörde BT çözümleri ve altyapı sağlayan bir Güney Asya hükümet kuruluşuna” karşı benzer teknikler kullanmış olabilirler. Diğer kurbanlar, Eylül 2024’te büyük bir Avrupa medya organizasyonunun yanı sıra Temmuz 2024’ten Mart’tan Mart’a kadar 70’den fazla kuruluşta müdahaleleri içeriyor.
Araştırmacılar, birden fazla araştırmacıya göre, tüm saldırıların sadece Çin saldırısı gruplarına sağlanan bir arka kapı olan Shadowpad kötü amaçlı yazılımını içerdiğini söyledi.
Sentinelone, “Bu noktada, faillerin odağının yalnızca hedeflenen BT lojistik organizasyonu üzerinde olup olmadığı veya aşağı yönlü organizasyonlara erişimlerini de artırmayı amaçlayıp amaçlamadıkları belirsizliğini koruyor.” Dedi. Diyerek şöyle devam etti: “Bu dava, potansiyel olarak aşağı yönlü varlıkları tehlikeye atmak için stratejik dayanaklar kurma geçmişi olan şüpheli Çin tehdit aktörleri tarafından ortaya çıkan kalıcı tehdidin altını çiziyor.”
Diğer siber güvenlik firmaları da Shadowpad ile ilgili saldırılarda bir artış detaylandırdı.
Darktrace, Mart ayında, Nisan’dan Kasım 2024’e kadar Shadowpad ile ilgili saldırılarda bir artış izlediğini söyledi. Bu saldırılar, genellikle kurbanların ağlarına erişim sağlamak için VPN kimlik bilgilerini kontrol noktası VPN kimlik bilgilerini kötüye kullanmaya çalışan saldırganları içeriyordu, daha sonra bir alan denetleyicisi aracılığıyla Shadowpad ile enfekte oldular. Bu vakalardan en az birinde, saldırganlar kapsamlı miktarda veri ortaya çıkardılar.
Trend Micro Şubat ayında, Kasım 2024’ten Shadowpad’in Avrupa’ya enfekte edici kuruluşları içeren iki vakayı detaylandırdı. Saldırılarda kullanılan araçlara, taktiklere ve tekniklere dayanarak, araştırmacılar geçen yıl aynı grup tarafından, ağırlıklı olarak Avrupa ve Asya’da ve daha az ölçüde Orta Doğu ve Güney Amerika’yı hedefleyen 21 şirketi tespit ettiler. Hedeflerin yarısı imalat endüstrisinden geliyordu. Bu saldırıların ikisinde, tehdit oyuncusu daha önce görülmemiş bir fidye yazılımı kullandı. Neden bunu yapmayı seçti ve sadece bu iki hedef için net değil.
2019’da Google’ın Maniant Olay Müdahale Grubu, bazı durumlarda fidye yazılımı dağıtmaya çalıştığını bildirmesine rağmen, Trend Micro, “Bu, ShadowPad’i kullanan tehdit aktörleri için nadir bir hamle.” Dedi.
ESET ayrıca, 2022’de başlamış gibi görünen göreceli bir uyku döneminden sonra, Temmuz 2024’te başlayan Shadowpad ile ilgili saldırılarda bir artış gördüğünü bildirdi.
Buna rağmen, geçen Ağustos ayında, Cisco Talos “Temmuz 2023’te başlayan Tayvanlı Hükümet’e bağlı bir araştırma enstitüsünü tehlikeye atan ve Shadowpad kötü amaçlı yazılımları, kobalt grevini ve işbirliği sonrası faaliyetler için diğer özelleştirilmiş araçları sunan” bir APT41 kampanyası keşfettiğini bildirdi.
Casusluk, finansal saldırılarda kullanılır
ESET, ShadowPad’i siber sorumluluk amaçları dahil olmak üzere “sadece Çin’e uyumlu tehdit aktörlerine sağlandığı bilinen özel olarak satılan bir arka kapı” olarak nitelendirdi.
Birden fazla siber güvenlik firmaları, APT41 – aka baryum, pirinç typhoon ve kötü panda ve kötü örümcek olarak izlenen üretken hack grubunun genellikle hem siber sorumluluk için hem de mali olarak motive edildiği ve muhtemelen kişisel kârın peşinde koşan saldırılara bağlı olan saldırılar için Shadowpad’i kullandığını söyledi.
Trend Micro, kötü amaçlı yazılımın APT41 tarafından geliştirildiğini ve 2017 yılına kadar kullanıldığını söyledi – ancak bazı araştırmacılar 2015’ten beri kullanımda göründüğünü söyledi – sadece 2019’dan başlayan diğer Çin hack gruplarıyla paylaşılmadan önce.
Modüler kötü amaçlı yazılımların yetenekleri, saldırganlara bir kurbanın ağına kalıcı erişim sağlamak için uzaktan erişim truva atı veya sıçan olarak hizmet vermeyi içerir. Trend Micro, diğer eklentiler “Keylogging, ekran görüntüsü kapma ve dosya alımını” kolaylaştırıyor. “Kod özel bir algoritma ile gizleniyor ve sadece bellekte kod çözülüyor.”
Geçen yıl, Isoon’un “Shadowpad ve Winnti gibi özel kötü amaçlı yazılım ailelerini kullandığını ve erişim sattığını” bildiren özel Çinli hack firması Isoon’dan gelen bilgi sızıntısına dayanarak (bkz: bkz: bkz: bkz: bkz: Isoon sızıntısı Çince uygun gruplara bağlantıları gösterir).
Google Tehdit İstihbarat Grubu, Ocak ayında, poisonplug.shadow olarak izlediği ShadowPad’i kullanan saldırganların “özel bir şaşkın derleyici” kullandığını detaylandırdı. Bu, daha önce Shadowpad ikili dosyalarını gizlemek için kullanılan Scatterbee adlı gizemli bir derleyicinin güncellenmiş bir versiyonu gibi görünüyor.
2022’de SecureWorks, hem Çin Devlet Güvenliği Bakanlığı Sivil İstihbarat Ajansı’na hem de Halkın Kurtuluş Ordusu tehdit gruplarına bağlı faaliyete saldırmaya devam eden Shadowpad enfeksiyonlarını gördüğünü bildirdi.
ESET, ABD telekomünikasyon firmalarının büyük müdahaleleri de dahil olmak üzere çok sayıda saldırıya bağlı olan Microsoft tarafından denilen Çin APT grubu Tuz Typhoon’dan farklı göründüğünü söyledi. Microsoft, iki grubu birbirine bağladı ve Pekin destekli bir organizasyonun, birçoğu Isoon gibi özel sektör müteahhitleri olan bir tehdit aktörleri ağı arasında hackleme araçları ve altyapı paylaştığını öne süren “dijital çeyrek yönetici” Çin hackleme teorisinin kanıtı olabileceğini söyledi.