En Üst Düzey Hedef | Bir Siber Güvenlik Şirketini Günümüzün Düşmanlarından Korumak İçin Ne Gerekiyor?

En Üst Düzey Hedef | Bir Siber Güvenlik Şirketini Günümüzün Düşmanlarından Korumak İçin Ne Gerekiyor?

Yönetici Özeti

Son aylarda SentinelOne, finansal olarak motive edilmiş suç yazılımlarından gelişmiş ulus devlet aktörleri tarafından özel olarak hazırlanmış kampanyalara kadar bir dizi saldırıyı gözlemledi ve savundu.

Bu olaylar, ABD merkezli bir siber güvenlik şirketine karşı düşmanlar tarafından yapılan gerçek izinsiz giriş girişimleriydi, ancak bu tür olaylar ne yeni ne de SentinelOne'a özgü.

Son düşmanlar şunları içeriyor:

Kuzey Kore BT çalışanları iş başvurusunda bulunuyor

Fidye yazılımı operatörleri platformumuza erişmenin/kötüye kullanmanın yollarını araştırıyor

İşimiz ve müşteri tabanımızla uyumlu kuruluşları hedef alan Çin devlet destekli aktörler

Bu rapor, nadiren tartışılan ancak çok önemli bir saldırı yüzeyini vurgulamaktadır: güvenlik sağlayıcılarının kendileri.

Genel bakış

SentinelOne'da gerçek dünyadaki tehditlere karşı savunma sadece işin bir parçası değil, aynı zamanda günümüz ortamında bir siber güvenlik şirketi olarak faaliyet göstermenin gerçeğidir. Sadece saldırıları incelemiyoruz, onları ilk elden deneyimliyoruz, bize karşı uygulanıyor. Ekiplerimiz, başkalarının hazırlanmasına yardımcı olduğumuz tehditlerle karşı karşıyadır ve ön saflara olan bu yakınlık, nasıl düşündüğümüzü ve nasıl çalıştığımızı şekillendirir. Kendi çevremize yönelik gerçek dünya saldırıları, neyin işe yaradığını güçlendiren, neyin işe yaramadığını ortaya çıkaran ve ürünlerimizde ve operasyonlarımızda sürekli iyileştirmeyi teşvik eden sürekli basınç testleri olarak hizmet eder. Dışarıdaki en yetenekli ve inatçı düşmanlardan bazıları için yüksek değerli bir hedef olduğunuzda, daha azı işe yaramaz.

Hedef alınmaktan bahsetmek herhangi bir kuruluş için rahatsız edicidir. Siber güvenlik satıcıları için neredeyse tabudur. Ancak gerçek şu ki, güvenlik sağlayıcıları, bizi çeşitli tehdit aktörleri için birincil hedef haline getiren ilginç bir erişim, sorumluluk ve saldırgan öfkesi kesitinde oturuyor ve riskler daha yüksek olamazdı. Saldırganlar bir güvenlik şirketini tehlikeye attığında, yalnızca tek bir ortamı ihlal etmekle kalmaz, aynı zamanda binlerce ortamın ve milyonlarca uç noktanın nasıl korunduğuna dair potansiyel olarak içgörü kazanırlar.

Yalnızca son birkaç ayda, finansal olarak motive edilmiş suç yazılımlarından gelişmiş ulus devlet aktörleri tarafından özel olarak hazırlanmış kampanyalara kadar bir dizi saldırı gözlemledik ve bunlara karşı savunma yaptık. Bunlar, ABD merkezli bir siber güvenlik şirketini hedef alan gerçek izinsiz giriş girişimleriydi ve aktif olarak bir avantaj, erişim veya kaldıraç arayan düşmanlar tarafından başlatıldı. Düşmanlar arasında iş başvurusunda bulunanlar gibi davranan KDHC BT çalışanları, platformumuza erişmenin/kötüye kullanmanın yollarını araştıran fidye yazılımı operatörleri ve işimiz ve müşteri tabanımızla uyumlu kuruluşları hedef alan Çin devlet destekli aktörler yer aldı.

Bu tehditlerle karşı karşıya kalan sadece biz değiliz. Toplu savunmayı ilerletme ve daha fazla iş birliğini teşvik etme ruhuyla, gördüklerimizden bazılarını, bunun neden önemli olduğunu ve gelişen tehdit ortamı hakkında bize ne söylediğini paylaşmak için perdeyi geri çekiyoruz - sadece bizim için değil, aynı zamanda modern güvenlik teknolojisi kuran ve bu teknolojiye güvenen her şirket için.

KDHC BT çalışanları içeride iş arıyor

Son yıllarda izlediğimiz daha üretken ve ısrarcı muhalif kampanyalardan biri, SentinelOne da dahil olmak üzere Batılı teknoloji şirketlerinde uzaktan istihdamı güvence altına almaya çalışan KDHC'ye bağlı BT Çalışanları tarafından yürütülen yaygın kampanyaları içeriyor. İlk raporlar bu çabalara dikkat çekti ve kendi analizimiz, Çinli aracı kuruluşlar aracılığıyla yasadışı fonları aklamak için daha fazla lojistik altyapı ortaya çıkardı. Bununla birlikte, her ikisi de devam eden sızma girişimlerinin şaşırtıcı hacmi hakkında bir fikir vermedi. Bu vektör, izlediğimiz diğer tüm iç tehdit vektörlerini çok geride bırakıyor.

Bu aktörler sadece körü körüne başvurmakla kalmıyorlar, aynı zamanda süreçlerini iyileştiriyorlar, çalıntı veya uydurulmuş kişiliklerden yararlanıyorlar ve sosyal yardım taktiklerini meşru iş arayanları giderek daha ikna edici şekillerde yansıtacak şekilde uyarlıyorlar. Ekibimiz, SentinelOne'daki roller için başvuran DPRK BT çalışanı operasyonlarıyla bağlantılı yaklaşık 360 sahte kişiyi ve 1.000'den fazla iş başvurusunu takip etti - hatta SentinelLabs istihbarat mühendisliği ekibinin kendisinde pozisyonları güvence altına almak için yapılan girişimler de dahil.

Tehdit istihbaratı pozisyonlarına başvuran KDHC BT çalışanlarının kamuya açık raporlaması

Katılım ve Düşman Etkileşimi

Pasif kalmak yerine, istihbarat odaklı angajmana yönelik bilinçli bir seçim yaptık. Yetenek kazanımı ekiplerimizle koordineli olarak, şüpheli KDHC başvuru sahiplerini sosyal yardımlarının ilk aşamalarında belirlemek ve onlarla etkileşim kurmak için iş akışları geliştirdik. Bu işbirliği çok önemliydi. İşe alım ekiplerine aşırı yük bindirmeden, hafif güvenlik incelemesi sinyallerini yerleştirerek ve doğrudan işe alım süreçlerine izleme yaparak, analist incelemesi için doğrudan Vertex Synapse istihbarat platformumuza aktarılan DPRK'ya bağlı kişilere bağlı anormal kalıpları ortaya çıkarabildik.

Girişimlerimiz, bu sızma kampanyalarının kurnazlığı ve kalıcılığı hakkında nadir bilgiler sundu - özellikle de düşmanların karşılaştıkları sürtüşmeye uyum sağlama yolları.

Stratejik çalışanlara gelen DPRK yönlendirme talebi

Saldırganlar, zanaatlarını iş başvurusu ve işe alım sürecinin ötesinde geliştiriyorlar. Bu ölçekte ve nitelikte bir operasyon, daha fazla aklama ve lojistik sağlamak için genişleyen bir paravan şirketler ağı gibi farklı türde bir arka uç altyapısı gerektirir.

KDHC BT Çalışanı Ön Şirket Ağı (Kasım 2024)

İşe Alım Ekiplerinin Bize Yardımcı Olmasına Yardımcı Olmak

Bu soruşturma üzerinde çalışmanın önemli bir çıkarımı, kasıtlı olarak yol açmanın ve normalde soruşturmalara dahil olmayan farklı ekiplerle tehdit bağlamını paylaşmanın değeriydi. Bilgisizlikten ziyade, işe alım görevlileri zaten kendi süreçleri içinde 'sahte başvuru sahiplerini' filtreleyip bildirdikleri için durumun sezgisel bir anlayışıyla karşılaştık.

Yetenek ekibimizin taktiksel içgörüleriyle birleştirilen kampanya düzeyinde bir anlayış getirdik. Karşılığı hemen geldi. İşe alım uzmanları, kalıpları kendi başlarına tespit etmeye başladı ve bu da şüpheli profillerin erken aşamada artmasına neden oldu. Cephe hatlarından yeni manzaraları işaretlemeye devam eden aktif bir ortak oldular. Buna karşılık, işe alım uzmanlarımızın ve işe alım yöneticilerimizin üzerindeki yükü azaltmak ve sızma riskini azaltmak için bu içgörüleri işaretleyen, filtreleyen, zenginleştiren ve proaktif olarak engelleyen otomatik sistemlere kodluyoruz.

İşlevler arası iş birliğini standart işletim prosedürü haline getirin: İşe alımdan satışa kadar ön saflardaki iş birimlerini paylaşılan tehdit bağlamıyla donatın ve işi yavaşlatmadan anormallikleri erkenden ortaya çıkarabilmeleri için yükseltme yollarını temizleyin. İçgörüleri otomasyonla kodlamak, sürekli olarak çift yönlü faydalar sağlayacaktır.

KDHC BT çalışanı tehdidi, anlamlı ilerlemenin güvenlik araştırma topluluğu ve kamu sektörü ortakları arasındaki iş birliğine bağlı olduğu benzersiz derecede karmaşık bir zorluktur.

Fidye Yazılımı Grubu Yetenek Geliştirme

Finansal olarak motive olmuş tehdit aktörleri, doğrudan erişim için genellikle kurumsal güvenlik platformlarını (para kazanmalarını engellemek için tasarlanmış ürünler) hedef alır. SentinelOne, akranlarımız gibi, bir istisna değildir. Rahatsız edici olsa da, bu, endüstrinin sürekli olarak karşı karşıya olduğu ve hem şeffaflık hem de aciliyetle ele alması gereken bir gerçektir.

Güvenlik ürünü erişimi sunan forum gönderisi

Uç nokta güvenlik ürünleri için yönetim arayüzlerine veya aracı yükleyicilerine ayrıcalıklı erişim, operasyonlarını ilerletmek isteyen saldırganlar için somut avantajlar sağlar. Konsol erişimi, korumaları devre dışı bırakmak, yapılandırmaları değiştirmek veya algılamaları bastırmak için kullanılabilir. Uç nokta aracısına doğrudan, izlenmeyen erişim, kötü amaçlı yazılımların etkinliğini test etme, atlama veya kurcalama tekniklerini keşfetme ve soruşturmalar için kritik olan adli görünürlüğü bastırma fırsatları sunar. Yanlış ellerde, bu yetenekler hem güvenlik ürünlerinin bütünlüğü hem de korudukları ortamlar için önemli bir tehdit oluşturur.

Bu yeni bir taktik değil. Çeşitli yüksek profilli suç grupları, EDR platformlarından (SentinelOne ve Microsoft Defender dahil) IAM ve Okta gibi VPN sağlayıcılarına kadar temel güvenlik araçlarına ve altyapısına erişim elde etmek için sosyal mühendislik kampanyalarında uzun süredir uzmanlaşmıştır. Amaçları: dayanakları genişletmek, savunmaları devre dışı bırakmak ve kar elde edecek kadar uzun süre algılamayı engellemek.

Black Basta ile ilgili son sızıntılar bu eğilimi daha da vurguluyor. Grubun operatörlerinin, saldırıları başlatmadan önce SentinelOne, CrowdStrike, Carbon Black ve Palo Alto Networks dahil olmak üzere birden fazla uç nokta güvenlik platformunda test ettiği gözlemlendi, bu da konuşlandırmadan önce güvenlik araçlarını değerlendirmek ve bunlardan kaçınmak için sistematik bir çaba olduğunu gösteriyor.

Black Basta leak excerpts

Economy/Ecosystem

Kurumsal güvenlik araçlarına erişimin satın alınması, satılması ve kiralanması etrafında inşa edilmiş, giderek daha olgun ve aktif bir yeraltı ekonomisi var. Doğru fiyata, hevesli tehdit aktörleri sürekli olarak EDR platformumuza ve yönetim konsollarımıza zamana bağlı veya kalıcı erişim elde etmeye çalışır. Tanınmış siber suç forumları, bu tür bir erişimin açıkça reklamını yapan satıcılarla ve aynı zamanda aktif olarak arayan birçok alıcıyla doludur. Bu, ve RAMP gibi köklü forumları içerir.XSS[.]isExploit[.]in

Bununla birlikte, bu etkinliklerin çoğu gizli mesajlaşma platformlarına da (Telegram, Discord, Signal) taşınıyor. Örneğin, Telegram botları bu erişimin ticaretini otomatikleştirmek için kullanılır ve Signal genellikle tehdit aktörleri tarafından nüans, hedefleme ve ilk erişim işlemlerini tartışmak için kullanılır.

Bu arz-talep dinamiği sadece sağlam değil, aynı zamanda hızlanıyor. Aktörlerin kötü amaçlı yazılımları çeşitli uç nokta koruma platformlarına karşı gizlice değerlendirebildiği "Hizmet Olarak EDR Testi" de dahil olmak üzere tüm hizmet teklifleri bu ekosistem etrafında ortaya çıktı.

Önerilen Özel EDR test hizmeti

Bu test hizmetleri, tam özellikli EDR konsollarına veya aracılarına doğrudan erişim sağlamasa da saldırganlara, maruz kalma tehdidi olmadan kötü amaçlı yüklere ince ayar yapmak için yarı özel ortamlar sağlar ve gerçek dünyadaki saldırılarda başarı olasılığını önemli ölçüde artırır.

EDR kurulumları için potansiyel alıcı

Bununla birlikte, erişim her zaman satın alınmaz. Tehdit aktörleri sıklıkla, kurumsal ortamlara ayrıcalıklı erişim elde etmenin yaygın ve düşük maliyetli bir yöntemi olan bilgi hırsızı günlüklerinden meşru kimlik bilgilerini toplar. Mevcut müşterilerin kimlik bilgilerini yeniden kullandığı durumlarda, bu, bir tehdit aktörünün de güvenlik araçlarına erişim kazanmasına dönüşebilir. Daha hedefli operasyonlarda, aktörler de rüşvete yöneldi ve hesap erişimlerini satmak isteyen çalışanlara önemli meblağlar teklif etti.

Bu içeriden gelen tehditler varsayımsal değildir. Örneğin, bazı grupların, içeriden yardım karşılığında hedeflenen şirketlerdeki çalışanlara 20.000 dolardan fazla teklif ettiği gözlemlendi- bu, güvenliği ihlal edilmiş kimlik bilgilerinin ve erişimin rutin olarak alınıp satıldığı aynı karanlık web forumlarında açıkça tartışılan bir yaklaşım.

Savunma tarafında, bu sürekli izleme ve bakım gerektirir. Platform bütünlüğünü korumak ve meşru müşterilerimizi korumak için durumsal farkındalığa öncelik verilmelidir. Araştırma ekiplerimiz, anormal konsol erişimine ve site belirteci kullanımına odaklanarak bu tür kötüye kullanım ve erişim 'sızıntısını' sürekli olarak izliyor ve bu erişim vektörlerini iptal etmek için gerekli eylemleri gerçekleştiriyor. Bu, tehdit aktörlerinin daha geniş platformla tam olarak etkileşime girmesini yasaklar ve esasen sızdırılan ajan yüklemelerini köksüzleştirerek ajanın tehdit aktörünün elinde kullanımını sınırlar.

Nitrojen — Tehdit Operatörleri 'Seviye Atlıyor'

Bazı fidye yazılımı operasyonları artık yeraltı pazarını tamamen atlıyor ve bunun yerine güvenlik araçlarına erişim elde etmek için daha özel, yoğun çaba gerektiren kimliğe bürünme kampanyalarını tercih ediyor. Bu yaklaşım, Nitrogen fidye yazılımı grubu tarafından özetlenmiştir.

Nitrojenin, Maze ve Snatch gibi daha önceki gruplarla bağları olan, iyi finanse edilen bir Rus vatandaşı tarafından işletildiğine inanılıyor. Nitrojen, yasa dışı erişim satın almak yerine gerçek şirketlerin kimliğine bürünerek benzer alan adları, sahte e-posta adresleri ve klonlanmış altyapılar oluşturarak ikna edici bir şekilde meşru işletmeler gibi davranıyor. Nitrojen daha sonra bu sahte iddialarla EDR ve diğer güvenlik ürünleri için resmi lisanslar satın alır.

Bu tür bir sosyal mühendislik hassas bir şekilde yürütülür. Nitrojen tipik olarak küçük, hafifçe incelenmiş satıcıları hedefler, etkileşimleri minimumda tutar ve çatlaklardan sızmak için satıcıların tutarsız KYC (Müşterini Tanı) uygulamalarına güvenir.

Bu kimliğe bürünme taktikleri, savunucular için yeni bir karmaşıklık katmanı sunar. Bir tehdit aktörü gerçek bir satıcıdan başarılı bir şekilde yasal lisanslar alırsa, suç pazarlarıyla hiç etkileşime girmek zorunda kalmadan korumaları test etmek, bunlardan kaçınmak ve potansiyel olarak devre dışı bırakmak için ürünü silah haline getirebilir.

Bu, güvenlik endüstrisi için büyüyen bir zorluğun altını çiziyor: bayi titizliği ve KYC uygulaması açıkça tehdit yüzeyinin bir parçası. Bu kontroller zayıf olduğunda veya olmadığında, Nitrojen gibi düşmanlar, kampanyalarını yükseltmek için genellikle karaborsadan daha düşük bir maliyet ve daha düşük riskle güçlü yeni yollar elde eder.

Alınan Dersler ve Şirket İçi İş birliği

Platformumuzu hedef alan düşmanları izlemekten elde edilen en etkili derslerden biri, dahili ekipler arasında, özellikle de geleneksel olarak tehdit müdahale çabalarına dahil edilmeyenler arasında derin ve erken işbirliğinin değeri olmuştur. Örneğin, bayi operasyonlarımız ve müşteri başarı ekiplerimizle proaktif bir şekilde etkileşim kurarak, şüpheli lisans talepleri, bayi davranış anormallikleri ve aksi takdirde fark edilmeyebilecek iş tutarsızlıkları hakkında değerli sinyaller ortaya çıkarabiliriz.

Paylaşılan playbook'lar oluşturarak, basit tehdit bağlamı ekleyerek ve net yükseltme yolları oluşturarak, reaktif süreçler proaktif sinyal kaynaklarına dönüşür. Artık, şüpheli lisanslama etkinliği (özellikle kaçamak davranışlar veya eşleşmeyen etki alanı meta verileriyle eşleştirildiğinde) iş akışında çok daha erken ortaya çıkabilir.

Bu çabayı ölçeklendirmek için otomasyona giderek daha fazla eğiliyoruz. Kuruluşlar, etki alanı kaydı buluşsal yöntemleri, davranışsal meta veri uyuşmazlıkları ve bayi tutarsızlıkları gibi tehdit desenlerini kodlayarak, gelen lisanslama istekleri için zenginleştirme ve risk puanlamasını otomatikleştirebilir. Bu daha sonra yüksek riskli etkinliği dinamik olarak filtrelemek, işaretlemek ve bazı durumlarda yüksek riskli etkinliği ilk katılıma ulaşmadan önce otomatik olarak engellemek için kullanılabilir.

Kimliğe bürünme, sosyal mühendislik veya deneme yanılma kimlik bilgisi kullanımı yoluyla satış süreçlerinden yararlanan saldırganların artan eğilimi, güvenlik sağlayıcılarının ticari ve operasyonel işlem hatları da dahil olmak üzere her erişim vektörünü saldırı yüzeyinin bir parçası olarak ele alması gerektiği anlamına gelir. İşlevler arası tehdit farkındalığını standart işletim prosedürü haline getirmek ve iş sistemlerinin uç noktasında algılama mantığını entegre etmek çok önemlidir.

Bu çalışmayı sessiz bir şekilde geliştirmeye devam ediyoruz. Ve burada her algılama mantığını paylaşmayacak olsak da (bariz nedenlerden dolayı), sektördeki diğer kişileri de benzer dahili ortaklıklar kurmaya teşvik ediyoruz. Satış ve destek ekipleri zaten kötüye kullanım belirtileri görüyor olabilir, güvenlik ekiplerinin bunu anlamaları için onlara mercek vermesi yeterlidir.

Çin Devlet Destekli Düşmanlar

Geçtiğimiz aylarda meydana gelen kayda değer bir dizi faaliyet, SentinelOne'ın altyapısına ve savunduğumuz belirli yüksek değerli kuruluşlara karşı keşif girişimlerini içeriyordu. Bu tehdit kümesinden ilk olarak, daha önce SentinelOne çalışanları için donanım lojistiği hizmetleri sağlayan bir kuruluşa karşı 2024 yılında gerçekleştirilen bir izinsiz giriş sırasında haberdar olduk. Bu faaliyet kümesini, kamuya açık olarak bildirilen birden fazla Çinli APT ile teknik örtüşmelerle PurpleHaze olarak adlandırıyoruz.

PurpleHaze Etkinlik Kümesi

Aylar boyunca SentinelLABS, tehdit aktörünün Güney Asya hükümetini destekleyen bir kuruluşa da dahil olmak üzere birçok izinsiz giriş gerçekleştirdiğini ve birden fazla sektörde BT çözümleri ve altyapısı sağladığını gözlemledi. Bu etkinlik, bazılarını operasyonel bir röle kutusu (ORB) ağıyla ilişkilendirdiğimiz kapsamlı bir altyapıyı ve GoReShell olarak izlediğimiz bir Windows arka kapısını içeriyordu. Arka kapı, Go programlama dilinde uygulanır ve saldırgan tarafından kontrol edilen uç noktalara ters SSH bağlantıları kurmak için açık kaynaklı reverse_ssh aracının işlevlerini kullanır.

SentinelLABS, bu etkinlikleri PurpleHaze takma adı altında toplu olarak izler. PurpleHaze'in Çin-bağlantı noktası olan bir aktör olduğunu yüksek bir güvenle değerlendiriyoruz ve onu APT15'e (Naylon Typhoon veya diğer çeşitli modası geçmiş takma adlar olarak da bilinir) gevşek bir şekilde bağlıyoruz. Bu düşman, telekomünikasyon, bilgi teknolojisi ve devlet kurumları gibi kritik altyapı sektörlerini küresel olarak hedeflemesiyle tanınır - PurpleHaze ile çoklu karşılaşmalarımızla uyumlu mağduriyet.

Güney Asya devlet kuruluşuna yönelik saldırıda gözlemlenen ORB ağ altyapısının Çin'den işletildiğini ve APT15 de dahil olmak üzere birkaç şüpheli Çinli siber casusluk aktörü tarafından aktif olarak kullanıldığını izliyoruz. ORB ağlarının kullanımı, siber casusluk operasyonlarının izlenmesini ve bunların ilişkilendirilmesini zorlaştıran dinamik ve gelişen bir altyapı oluşturmak için hızla genişletilebildiklerinden, bu tehdit grupları arasında büyüyen bir eğilimdir. Ek olarak, güvenliği ihlal edilmiş makinelerde dağıtım mekanizması ve gizleme teknikleri de dahil olmak üzere GoReShell kötü amaçlı yazılımı ve varyasyonları, yalnızca Çin-nexus aktörlerine yüksek güvenle atfettiğimiz izinsiz girişlerde gözlemlenmiştir.

ShadowPad İzinsiz Girişleri

Haziran 2024'te, PurpleHaze'in SentinelOne'ı hedef almasından yaklaşık dört ay önce SentinelLABS, Ekim 2024'te de hedef alınan aynı Güney Asya devlet kuruluşunu hedef alan tehdit aktörü faaliyeti gözlemledi. Elde edilen eserler arasında, birden fazla şüpheli Çin-nexus tehdit aktörü tarafından siber casusluk yapmak için kullanılan modüler bir arka kapı platformu olan ShadowPad'in örneklerini belirledik. Son ShadowPad etkinliği, fidye yazılımlarının konuşlandırılmasını da içeriyordu, ancak bunun nedeni belirsizliğini koruyor- finansal kazanç için mi yoksa dikkat dağıtma, yanlış ilişkilendirme veya kanıtların kaldırılması için mi?

Aldığımız ShadowPad örnekleri, ScatterBee gizleme mekanizmasının bir evrimi olan ScatterBrain kullanılarak gizlendi. Sektör ortağımız Google Tehdit İstihbarat Grubu (GTIG) da 2022'den bu yana ScatterBrain tarafından gizlenmiş ShadowPad örneklerinin kullanıldığını gözlemledi ve bunları şüpheli Çinli APT aktörü APT41 ile ilişkili kümelerle ilişkilendirdi.

GTIG APT41 ScatterBrain Kullanımı

Haziran 2024 ShadowPad izinsiz girişleri ile daha sonraki PurpleHaze etkinliği arasındaki belirli aktör örtüşmesini belirlemeye yönelik araştırmalar devam ediyor. Özellikle Çinli tehdit grupları arasında kötü amaçlı yazılım, altyapı ve operasyonel uygulamaların kapsamlı bir şekilde paylaşılmasının yanı sıra farklı aktörler arasında erişim transferi olasılığı göz önüne alındığında, aynı tehdit kümesinin katılımını göz ardı etmiyoruz.

Özel telemetriye dayanarak, ScatterBrain tarafından gizlenmiş ShadowPad kullanılarak güvenliği ihlal edilmiş büyük bir kurban kuruluş koleksiyonu belirledik. Temmuz 2024 ile Mart 2025 arasında bu kötü amaçlı yazılım, imalat, hükümet, finans, telekomünikasyon ve araştırma gibi sektörleri kapsayan, dünya çapında çeşitli bölgelerde 70'ten fazla kuruluşa izinsiz girişlerde kullanıldı. Tehdit aktörünün, fidye yazılımının dağıtımını içeren ShadowPad izinsiz girişlerine ilişkin önceki araştırmalarla uyumlu olarak, CheckPoint ağ geçidi cihazlarındaki n günlük bir güvenlik açığından yararlanarak bu kuruluşların çoğunda öncelikle ilk dayanağı elde ettiğini değerlendiriyoruz.

Kurbanlar arasında, o sırada SentinelOne çalışanları için donanım lojistiğini yönetmekten sorumlu olan, daha önce bahsedilen BT hizmetleri ve lojistik organizasyonunu belirledik. Mağdur kuruluşlar, izinsiz giriş ayrıntıları hakkında derhal bilgilendirildi ve bunlar hızla araştırıldı. Bu noktada, faillerin odak noktasının yalnızca güvenliği ihlal edilmiş kuruluş olup olmadığı veya erişimlerini müşteri kuruluşlara da genişletmeyi amaçlayıp amaçlamadıkları belirsizliğini koruyor.

SentinelOne'ın altyapısı, yazılımı ve donanım varlıklarına ilişkin ayrıntılı bir araştırma, ikincil uzlaşmaya dair hiçbir kanıt bulamadı. Bununla birlikte, bu durum, kuruluşların bağımlı olduğu daha büyük tedarikçi ekosisteminin kırılganlığının ve alt varlıkları potansiyel olarak tehlikeye atmak için sürekli olarak stratejik dayanaklar oluşturmaya çalışan şüpheli Çinli tehdit aktörlerinin oluşturduğu kalıcı tehdidin altını çiziyor.

SentinelLABS, zamanı gelince bu konuyla ilgili ayrıntılı bir kamuoyu bülteni paylaşacak ve gözlemlenen TTP'ler, kötü amaçlı yazılımlar ve altyapı dahil olmak üzere bu faaliyetler hakkında daha fazla teknik bilgi sağlayacaktır.

Operasyonel Ekosistemimizi Güçlendirirken Çıkarılan Dersler

PurpleHaze kümesine ve daha spesifik olarak, güvenliği ihlal edilmiş üçüncü taraf hizmet sağlayıcılardan kaynaklanan potansiyel dolaylı riske ilişkin analizimiz, operasyonel güvenlik ve tedarik zinciri izleme ile ilgili birkaç önemli içgörüyü güçlendirdi. Kendi altyapımıza dokunulmadığında bile, daha önce iş lojistiği ile ilişkili olan harici bir hizmet sağlayıcının hedeflenmesi önemli hususları ortaya çıkardı.

Acil bir hatırlatma, yalnızca dahili varlıklar üzerinde değil, aynı zamanda bitişik hizmet sağlayıcılar üzerinde de gerçek zamanlı farkındalığın sürdürülmesi gerekliliğidir - özellikle hassas çalışan cihazlarına veya lojistik bilgilere geçmişte veya mevcut erişimi olanlar. Tedarik zincirinizin yakınında olaylar meydana geldiğinde, uzlaşma onayını beklemeyin. Varlık envanterlerinin, satın alma iş akışlarının, işletim sistemi görüntülerinin ve işe alım dağıtım komut dosyalarının ve segmentasyon politikalarının dahili incelemelerini proaktif olarak tetikleyerek tüm maruz kalma yollarını hızlı bir şekilde belirleyin ve aşağı akış riskini azaltın.

Bu, birkaç savunma önerisine yol açar:

Tehdit İstihbaratını Operasyonel Paydaşlar
Arasında Dağıtın Kuruluşlar, kampanya düzeyindeki tehdit istihbaratını geleneksel güvenlik kuruluşunun ötesindeki iş birimleriyle, özellikle de satıcı ilişkilerini, lojistiği ve fiziksel operasyonları yönetenlerle proaktif olarak paylaşmalıdır. Bunu yapmak, güvenliği ihlal edilmiş üçüncü taraflarla çakışmanın daha hızlı tespit edilmesini sağlar ve dış ortaklar aracılığıyla maruziyetin erken yeniden değerlendirilmesini destekler.

Tehdit Bağlamını Varlık İlişkilendirme İş Akışlarına
Entegre Edin Altyapı ve BT ekipleri, tehdide duyarlı meta verileri varlık envanterlerine eklemek için tehdit istihbaratı işlevleriyle iş birliği yapmalıdır. Bu, olay müdahalesi sırasında daha duyarlı kapsam belirleme sağlar ve risk altında olabilecek tedarik zinciri temas noktalarını izleme yeteneğini geliştirir.

Tedarik Zinciri Tehdit Modellemesini Genişletin
Kuruluşlar, tehdit modelleme süreçlerini, özellikle yüklenicileri, satıcıları veya lojistik iş ortaklarını dolaylı erişim vektörleri olarak kullanma geçmişine sahip ulus devlet aktörlerinin oluşturduğu tehditleri, yukarı akış tedarik zinciri tehditlerini açıkça hesaba katacak şekilde iyileştirmelidir. Modellerin düşmana özgü ticari araçları içerecek şekilde uyarlanması, geleneksel olmayan izinsiz giriş yollarının daha erken tanımlanmasını sağlar.

İlişkilendirme gelişmeye devam etse ve kurban etkisi çeşitlilik göstermeye devam etse de açık olan bir şey var: iyi kaynaklara sahip tehdit aktörleri, kurumsal ortamlara giden dolaylı yollara giderek daha fazla eğiliyor. Bunun gibi araştırmalar, yalnızca geleneksel dijital çevreler etrafında değil, kuruluşumuzun tüm operasyonel ayak izi etrafında savunmamızı keskinleştirmemize yardımcı olur.

Siber Tehdit İstihbaratının Stratejik Değeri

Günümüzün tehdit ortamında, tehdit istihbaratı, özellikle güvenlik alanında faaliyet gösteren özel sektör kuruluşları için niş bir işlevden kurumsal savunmanın önemli bir direğine dönüşmüştür. Tehdit aktörleri, içeriden erişim, meşru kanalların kötüye kullanılması ve tedarik zincirine sızma için güvenlik sağlayıcılarını giderek daha fazla hedef aldıkça, CTI'nın bu taktikleri öngörme ve bozmadaki rolü her zamankinden daha kritik hale geldi.

Bu değerin en somut örneklerinden biri, şirket içi yetenek kazanımı ve içeriden gelen tehdit savunmasıdır. İstihbarat, Kuzey Koreli BT çalışanlarının ve diğer devlet destekli operatörlerin sahte iddialarla kendilerini kuruluşlara yerleştirme girişimlerini belirlemede ön saflarda yer alan bir varlık haline geldi. CTI ekipleri, şüpheli başvuru sahibi kalıplarını işaretleyerek, takma ad geçmişlerine çapraz referans vererek ve bilinen ticari araçları izleyerek, işe alım yöneticilerinin ve İK'nın olası içeriden öğrenen olaylardan başlamadan önce kaçınmasına yardımcı olur.

CTI yeteneklerimiz, satış ve kanal operasyonlarını da doğrudan desteklemelidir. Suç grupları, güvenilir satıcılar aracılığıyla güvenlik ürünleri elde etmek için meşru işletmeleri giderek daha fazla taklit ettikçe, istihbarat müşteri meşruiyetini doğrulamada ve anormal satın alma davranışlarını belirlemede önemli bir rol oynamaktadır. İstihbarat içgörülerini satış öncesi inceleme iş akışlarına entegre ederek, çok önemli bir koruma katmanı, düşmanların teknoloji yığınımıza kolayca "satın almamalarını" sağlamaya yardımcı oluyor.

Dahili olarak, tehdit istihbaratı, kendi teknolojimizi ve tedarik zincirimizi yüksek oranda hedeflenmiş APT etkinliğine karşı nasıl savunduğumuzu bilgilendirir ve geliştirir. Saldırganların yazılımımıza nasıl tersine mühendislik uyguladığını anlamaktan teknoloji yığınımızın hangi kısımlarını tehlikeye atmaya çalıştıklarını ortaya çıkarmaya kadar, CTI proaktif sağlamlaştırma, daha akıllı telemetri önceliklendirmesi ve ürün ve mühendislik ekipleriyle anlamlı iş birliği sağlar. Özünde, istihbarat bir erken uyarı sistemi ve stratejik bir rehber görevi görür ve savunmamızın gelişen tehditlerden bir adım önde olmasını sağlar.

İK, Satış, Mühendislik veya Güvenlik gibi her işlevde siber tehdit istihbaratı artık bir arka oda işlevi değil. Bir işletme olarak nasıl savunduğumuzun, faaliyet gösterdiğimizin ve büyüttüğünüzün dokusuna yerleştirilmiştir.