Önde gelen bir siber güvenlik satıcısı olan Sentinelone’u hedefleyen sofistike bir keşif operasyonu olan Sentinellabs, Çin-Nexus tehdit aktörlerine bağlı daha geniş bir casusluk kampanyasının bir parçası olarak detaylandırıldı.
Purplehaze ve Shadowpad aktivite kümeleri altında izlenen bu operasyonlar, Temmuz 2024 – Mart 2025 arasında yer alan ve hükümet, medya, üretim, finans ve telekomünikasyon gibi sektörler arasında dünya çapında 70’den fazla kuruluşu etkiledi.
Çin-Nexus aktörlerinden gelen kalıcı tehditler ortaya çıktı
Rapor, siber tehditlerin nadiren tartışılan bir yönüne ışık tutuyor: koruyucu rolleri ve müşteri ortamlarına derin görünürlük nedeniyle yüksek değerli hedefler olan siber güvenlik satıcılarının kasıtlı hedeflemesi.
.png
)
Sentinellabs, kalıcı çabalara rağmen, Sentinelone’un altyapısının, yazılımının ve donanım varlıklarının, sağlam izleme ve hızlı yanıt mekanizmaları sayesinde tavizsiz kaldığını doğruladı.
Eylül ve Ekim 2024 arasında aktif olan Purplehaze kümesi, Sentinelone’un internete dönük sunuculara karşı Güney Asya hükümet kuruluşuna ve bir Avrupa medya organizasyonuna müdahalelerin yanı sıra keşif faaliyetlerini içeriyordu.
Teknik analiz, Goreshell Backdoor’un Garble ve UPX ambalajı gibi sofistike gizleme teknikleriyle dağıtılan açık kaynaklı ters_ssh aracının bir varyantının kullanılmasını ortaya çıkardı.
Paylaşılan C2 Domain Downloads.trendav gibi altyapı örtüşüyor[.]VIP IP 142.93.214[.]219, bu saldırıları, Çin Devlet Güvenliği Bakanlığı için şüpheli bir başlangıç erişim brokeri olan APT15 ve UNC5174 gibi gruplarla ilişkili olan Çin tarafından işletilen bir operasyonel röle kutusu (ORB) ağına bağladı.
Siber güvenlik satıcısı hedefleme
Ivanti Cloud Services cihazında CVE-2024-8963 ve CVE-2024-8190 dahil olmak üzere sıfır günlük güvenlik açıklarının sömürülmesi, kamu açıklamasından günler önce dayanak kazanan bu aktörlerin gelişmiş yeteneklerinin altını çizmektedir.
Buna ek olarak, Scatterbrain ile gizlenmiş Shadowpad kötü amaçlı yazılım, Haziran 2024’ten Mart 2025’e kadar ayrı bir saldırı dalgasına yerleştirildi ve küresel varlıkları ve Sentinelone ile bağlantılı bir BT lojistik sağlayıcısını hedef aldı.
Dikkate değer bir örnek, PowerShell aracılığıyla, tehlikeye atılan dahili sistemlerden kötü niyetli yükler indirmek için yürütülen ve kullanılan katmanlı kalıcılığı ve veri açığa çıkma taktiklerini vurgulamak için yürütülen Appsov.exe örneğini içeriyordu.
Rapora göre, Sentinellabs, Hacker’ın Seçim Topluluğu tarafından DSNIFF Sürüm 2.5A1 gibi halka açık araçların bu saldırılarda kullanılmasını, APT bağlamlarında yeni bir uygulamayı işaretleyerek de belgeledi.
Rapor, siber güvenlik firmalarını hedeflemenin, koruyucu mekanizmaları bozmayı ve potansiyel olarak aşağı akış kuruluşlarına erişmeyi amaçlayan stratejik niyeti vurgulamaktadır.
Detaylı uzlaşma (IOCS) ve teknik anlayış göstergelerini paylaşarak Sentinellabs, bu tür kalıcı tehditlere karşı koymak için sektördeki şeffaflık ve işbirliğini savunuyor.
Özel SSH anahtarlarının birden fazla kampanyada yeniden kullanılmasıyla birleştiğinde, Çin-Nexus aktörlerine atıf, sürekli uyanıklık ve istihbarat paylaşımı gerektiren koordineli ve gelişen bir tehdit manzarasına işaret ediyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Not |
|---|---|---|
| SHA-1 Hash | F52E18B7C8417C7573125C0047ADB32D8D813529 | ShadowPad (Appsov.exe) |
| İhtisas | Downloads.trendav[.]vip | Goreshell C2 Sunucusu |
| IP adresi | 142.93.214[.]219 | Goreshell C2 Sunucusu |
| Url | HTTPS[://]45.13.199[.]209/rss/rss.php | URL pespiltrasyonu |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun