SentinelOne, Çin bağlantılı bir siber casusluk kampanyasını ortaya çıkardı. “PurpleHaze” adlı tehdit grubu, SentinelOne’ın altyapısına ve yüksek değerli müşterilerine karşı keşif faaliyetleri yürüttü. 2024’te, SentinelOne çalışanlarına donanım lojistiği hizmeti veren bir kuruluşa yapılan sızma sırasında bu tehdit fark edildi. PurpleHaze, APT15 (Flea, Nylon Typhoon, Playful Taurus, Royal APT, Vixen Panda) ile bağlantılı bir hacker grubu olarak değerlendiriliyor.

PurpleHaze, Ekim 2024’te Güney Asya’daki bir hükümet destekli kuruluşu hedef aldı ve operasyonel bir röle kutusu (ORB) ağı ile “GoReShell” adlı bir Windows arka kapısını kullandı. GoReShell, açık kaynaklı “reverse_ssh” aracını kötüye kullanarak saldırganların kontrolündeki uç noktalara ters SSH bağlantıları kuruyor. ORB ağları, siber casusluk operasyonlarını izlemeyi zorlaştıran dinamik bir altyapı sağlıyor.

Aynı Güney Asya kuruluşu, Haziran 2024’te ShadowPad (PoisonPlug) adlı bir arka kapıyla hedef alınmıştı. ShadowPad, Çin bağlantılı casusluk grupları arasında yaygın ve PlugX’in halefi olarak biliniyor. Ancak son dönemde ShadowPad’in fidye yazılımı dağıtımında da kullanıldığı görüldü, bu nedenle saldırının amacı belirsiz. ShadowPad artefaktları, ScatterBrain adlı özel bir derleyiciyle gizlenmişti.

ScatterBrain ile gizlenmiş ShadowPad, Check Point ağ geçidi cihazlarındaki bir N-day güvenlik açığından yararlanılarak 70’ten fazla kuruluşa (üretim, hükümet, finans, telekomünikasyon, araştırma) yönelik saldırılarda kullanıldı. SentinelOne’ın donanım lojistiği sağlayıcısı da bu saldırılardan etkilendi, ancak ikincil bir ihlal kanıtı bulunmadı.

SentinelOne, Kuzey Kore bağlantılı BT çalışanlarının, 360 sahte persona ve 1.000’den fazla iş başvurusuyla şirketin SentinelLabs istihbarat mühendisliği ekibine sızmaya çalıştığını da bildirdi. Ayrıca fidye yazılımı operatörleri, SentinelOne ve diğer kurumsal güvenlik platformlarına erişmeye çalışarak kötü amaçlı yazılımlarının tespit edilme olasılığını test ediyor. Bu faaliyetler, XSS[.]is, Exploit[.]in ve RAMP gibi forumlarda satılan “EDR Testi-as-a-Service” hizmetleriyle destekleniyor.

Nitrogen adlı fidye yazılımı grubu, gerçek şirketleri taklit ederek EDR ve güvenlik ürünlerinin resmi lisanslarını satın alıyor. Sahte alan adları, e-posta adresleri ve klonlanmış altyapılar kullanarak küçük çaplı satıcıları hedefliyor ve zayıf KYC (Müşterini Tanı) uygulamalarından yararlanıyor.

Kaynak

https://cloud.google.com/blog/topics/threat-intelligence/scatterbrain-unmasking-poisonplug-obfuscator

https://www.zscaler.com/campaign/threatlabz-ai-security-report

Diğer yazılarımıza buradan ulaşabilirsiniz.