Çin devlet destekli hackerlar, Ekim 2024’te siber güvenlik devi Sentinelone’un altyapısına karşı sofistike keşif operasyonları başlattı ve dünya çapında 70’den fazla kuruluşu hedefleyen daha geniş bir kampanyanın bir kısmını temsil etti.
9 Haziran 2025’te Sentinellabs tarafından yayınlanan kapsamlı bir raporda ayrıntılı olarak açıklanan daha önce açıklanmayan saldırılar, Çin-Nexus aktörlerinin küresel dijital altyapıyı savunmakla görevli şirketlere verdiği sürekli tehdidi gösteriyor.
Çok yönlü operasyon, Sentinelone araştırmacılarının Purplehaze ve Shadowpad faaliyetleri olarak belirlediği iki farklı ancak ilgili saldırı kümesini içeriyordu.
.png
)
Bu kampanyalar Haziran 2024’ten Mart 2025’e kadar, küresel olarak imalat, hükümet, finans, telekomünikasyon ve araştırma sektörlerinde kurbanları hedefleyen.
.webp)
En önemlisi, saldırganlar o sırada Sentinelone çalışanları için donanım lojistiğini yöneten bir BT hizmetleri ve lojistik şirketinden ödün vermeyi başardı, ancak Sentinelone’un kendi altyapısı güvenli kaldı.
Sentinelone analistleri, tehdit aktörleri 443 bağlantı noktasına göre sistematik olarak internete bakan sunucuları sistematik olarak araştırmaya başladıkça keşif faaliyetini hemen tespit etti.
Şirketin sürekli izleme yetenekleri, meşru telekomünikasyon altyapısı olarak maskelenmek için tasarlanmış sanal özel sunuculardan kaynaklanan şüpheli bağlantıların hızlı bir şekilde tespitini sağladı.
.webp)
Müfettişler, büyük bir Güney Asya telekomünikasyon sağlayıcısının bir parçası olarak görünmek için kasıtlı olarak hazırlanmış olan Tatacom.dickdns.org gibi alanlara kadar etkinliği izlediler.
Saldırganlar kampanyaları boyunca gelişmiş operasyonel güvenlik önlemleri ve gelişmiş teknik yetenekler gösterdiler.
Tarihsel olarak Çin Siber Yoruma Grupları ile ilişkili kapalı kaynaklı modüler bir arka kapı olan Shadowpad kötü amaçlı yazılım platformunun daha önce bilinmeyen varyantlarını kullandılar.
Buna ek olarak, tehdit aktörleri, gizli komut ve kontrol kanallarını oluşturmak için ters SSH işlevlerini kullanan Goreshell arka kapısının özel uygulamalarını kullandı.
Kampanyalar, onları şüpheli Çin gruplarına APT15 ve UNC5174 ile ilişkilendiren net atıf belirteçleri gösterdi ve ikincisi Çin Devlet Güvenliği Bakanlığı için bir yüklenici olarak değerlendirildi.
ShadowPad Kötü Yazılım: Gelişmiş Gizli ve Kaçınma Teknikleri
Bu kampanyada keşfedilen Shadowpad varyantının teknik sofistike olması, Çin tehdit aktörlerinin gelişen yeteneklerini ortaya koyuyor.
Appsov.exe olarak adlandırılan kötü amaçlı yazılım örneği, 2022’den beri gözlemlenen Scatterbee şaşkınlık mekanizmasının gelişmiş bir evrimi olan Scatterbrain varyantı kullanılarak gizlenmiştir.
Bu gizleme tekniği, kontrol akışını önemli ölçüde değiştiren, ters mühendislik ve algılamayı son derece zorlaştıran dispatcher rutinlerini kullanır.
Kötü amaçlı yazılımın bütünlük doğrulama sistemi, çalışma zamanı doğrulaması için 0x89d17427, 0x25473d6, 0x25473d6, 0x25473d6, 0x25473d6, 0x25473d6, 0x25473d6, 0x110302d6 dahil olmak üzere belirli teknik karmaşıklığı gösterir.
Dürüstlük kontrol rutini, kullanılan sofistike anti-zımpara mekanizmalarını ortaya çıkarır:-
int64 check_integrity()
{
[...]
v1 = retaddr;
do
{
v2 = *(_DWORD *)((char *)v1 + 5);
v1 = (_DWORD *)((char *)v1 + 1);
}
while ( *v1 != (v2 ^ 0xAC9647F1) || *v1 != (v1[2] ^ 0xE633BB69)
|| *v1 != (v1[3] ^ 0x98D276F1) );
[...]
}ShadowPad uygulaması, komut ve kontrol iletişimi için HTTPS üzerinden DNS’yi kullanır ve özellikle newnaginerjp.com ve IP adresi 65.38.120.110’u hedefler.
Bu teknik, sorgulanan alanları kodlayarak ve geleneksel izleme sistemlerinden DNS trafiğini gizleyen baz-64 ile tespitten kaçınmaya çalışır.
Kötü amaçlı yazılım, IDS 0x0a ve 0x20 tarafından tanımlanan ve yapılandırma verileri ve veri enjeksiyonu veya hırsızlık gibi çalışma özellikleri için farklı fonksiyonel bileşenleri temsil eden üç farklı modülle donatılmıştır.
Dağıtım yöntemleri, kampanya boyunca önemli ölçüde değişti, bazı varyantlar DLL kaçırmaya karşı savunmasız belirli meşru yürütülebilir ürünler için tasarlanmış Windows DLL’ler olarak uygulandı.
Bu varyantlar, 1d017df2.tmp gibi sekiz karakterli adlara ve .tmp uzantılarına sahip harici dosyaları yükler ve saldırganların kötü niyetli aktiviteyi meşru sistem işlemleriyle harmanlayan kara geçirme tekniklerini tercih eder.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği