原文地址 https://www.sentinelone.com/labs/top-tier-target-what-it-takes-to-defend-a-cybersecurity-company-from-todays-adversaries/ ，本周知识库新增了200多本经典的网络安全书籍和相关论文，总数突破7000大关。

顶级目标 | 网络安全公司抵御当今对手的必备能力

Tom Hegel、Aleksandar Milenkoski 和 Jim Walter / 2025年4月28日

执行摘要

• • 近几个月来，SentinelOne观察并抵御了从经济驱动的犯罪软件到国家级高级攻击者的定制攻击。
• • 这些事件是敌对势力针对美国网络安全公司的真实入侵尝试，但此类事件对SentinelOne而言既不新鲜也不独特。
• • 近期对手包括：
• • 伪装成求职者的朝鲜IT工作者
• • 试图寻找平台漏洞的勒索软件运营者
• • 针对我们业务及客户群体的东大国家支持的黑客
• • 本报告揭示了一个鲜少讨论但至关重要的攻击面：安全厂商自身。

概述

在SentinelOne，抵御现实威胁不仅是工作的一部分，更是作为当今网络安全公司运营的现实。我们不仅研究攻击，更亲身经历攻击。我们的团队直面那些我们帮助他人防范的威胁，这种前线经验塑造了我们的思维和运营方式。针对我们自身环境的真实攻击成为持续的压力测试，验证有效措施、暴露不足并推动产品和运营的持续改进。当成为高价值目标时，唯有全力以赴。

谈论被针对对任何组织都不舒服，对安全厂商更是禁忌。但事实上，安全厂商处于访问权限、责任和攻击者敌意的交叉点，这使我们成为各类威胁行为者的主要目标，风险极高。当对手攻破安全公司时，他们不仅入侵单一环境，还可能获取数千个环境和数百万终端的保护机制。

仅过去几个月，我们就观察并抵御了从经济驱动的犯罪软件到国家级高级攻击者的各类攻击。这些真实入侵尝试针对美国网络安全公司，由寻求优势、访问或筹码的对手发起。对手包括伪装成求职者的朝鲜IT工作者、试图滥用我们平台的勒索软件运营者，以及针对我们业务和客户群体的东大国家支持的黑客。

我们并非唯一面临这些威胁的机构。为促进集体防御和协作，我们揭开帷幕，分享所见所闻及其对威胁演变的启示——不仅对我们，也对所有依赖现代安全技术的公司。

朝鲜IT工作者寻求内部职位

近年来我们追踪的最活跃且持久的攻击活动之一，是朝鲜附属IT工作者试图在西方科技公司（包括SentinelOne）获取远程职位的广泛行动。早期报告揭示了这些努力，而我们的分析进一步发现了通过东大中介组织洗钱的物流基础设施。然而，这些均未反映持续渗透尝试的惊人规模。这一向量远超我们监控的其他内部威胁。

这些攻击者并非盲目申请，而是优化流程，利用窃取或伪造的身份，并调整策略以越来越逼真地模仿合法求职者。我们团队追踪到约360个虚假身份和1000多份与朝鲜IT工作者行动相关的职位申请，甚至包括试图加入SentinelLabs情报工程团队的大胆尝试。

参与与对手互动

我们选择主动进行情报驱动的互动。与人才招聘团队协作，我们开发了在早期阶段识别并接触可疑朝鲜申请者的流程。这种协作至关重要。通过在招聘流程中嵌入轻量级审查信号并直接监控，我们将与朝鲜相关的异常模式直接导入Vertex Synapse情报平台供分析师审查。

我们的互动尝试罕见地揭示了这些渗透活动的狡猾和持久性，尤其是对手如何应对遇到的阻力。

助力招聘团队

这项调查的关键收获是，有意与不同团队建立联系并共享威胁背景的价值。招聘人员已在其流程中过滤并报告“虚假申请者”，我们带来了战役级理解与人才团队的战术洞察结合。效果立竿见影：招聘人员开始自行发现模式，推动早期上报可疑资料。他们成为持续标记前线新发现的活跃伙伴。我们正将这些洞察编码为自动化系统，以标记、过滤、丰富并主动拦截这些活动，减轻招聘团队负担并降低渗透风险。

勒索组织能力发展

经济驱动的威胁行为者常针对企业安全平台（旨在阻止其牟利的产品）以获取直接访问。SentinelOne也不例外。尽管令人不安，但这是行业持续面临的现实，需以透明和紧迫性应对。

特权访问端点安全产品的管理界面或代理安装程序，为寻求推进行动的对手提供了切实优势。控制台访问可用于禁用保护、操纵配置或压制检测。对终端代理的直接无监控访问则提供了测试恶意软件效力、探索绕过或篡改技术及压制调查关键取证可见性的机会。这些能力落入敌手，对安全产品及其保护环境的完整性构成重大威胁。

经济/生态系统

围绕企业安全工具访问买卖的成熟地下经济日益活跃。只要价格合适，威胁行为者不断尝试获取我们EDR平台和管理控制台的限时或持久访问。知名犯罪论坛充斥着公开广告此类访问的供应商及寻求购买的买家。

然而，更多此类活动转向加密通讯平台（如Telegram、Discord、Signal）。例如，Telegram机器人用于自动化交易此类访问，而Signal常被威胁行为者用于讨论目标选择和初始访问操作。

这种供需动态不仅强劲且加速发展。整个服务生态已围绕此形成，包括“EDR测试即服务”，攻击者可 discreetly 针对各类终端保护平台微调恶意负载。

Nitrogen——威胁运营者“升级”

部分勒索组织正绕过地下市场，转而通过更定制化的冒充活动获取安全工具访问。Nitrogen勒索组织是此策略的典型。

Nitrogen据信由资金充足的俄罗斯人运营，与早期Maze和Snatch团伙有关。该组织不购买非法访问，而是冒充真实公司——创建相似域名、伪造邮箱和克隆基础设施，以虚假身份购买EDR等安全产品的正式许可。

这种社会工程执行精准。Nitrogen通常瞄准审查宽松的小型经销商，保持互动最少，并依赖经销商不一致的KYC（了解你的客户）流程蒙混过关。

经验教训与内部协作

追踪针对我们平台的对手最有影响的教训之一，是与内部团队深度早期协作的价值——尤其是那些传统上不参与威胁响应的团队。例如，通过主动与经销商运营和客户成功团队合作，我们可发现可疑许可请求、经销商行为异常及业务不一致的有价值信号。

通过创建共享手册、嵌入轻量级威胁背景及建立明确上报路径，反应流程转变为主动信号源。现在，可疑许可活动（尤其是与规避行为或域名元数据不匹配时）可在工作流早期浮现。

为扩展此努力，我们日益依赖自动化。通过编码威胁模式（如域名注册启发式、行为元数据不匹配及经销商不一致），组织可自动化对许可请求的丰富和风险评分，动态过滤、标记甚至自动拦截高风险活动。

东大国家支持的对手

过去几个月的一组显著活动涉及对SentinelOne基础设施及我们保护的特定高价值组织的侦察尝试。我们首次在2024年针对曾为SentinelOne员工提供硬件物流服务的组织的入侵中注意到此威胁集群。我们将此活动集群称为PurpleHaze，技术上与多个公开报告的东大APT重叠。

PurpleHaze活动集群

数月间，SentinelLABS观察到该威胁行为者实施多起入侵，包括针对一家为多行业提供IT解决方案和基础设施的南亚政府支持实体。此活动涉及广泛基础设施，部分与运营中继盒（ORB）网络相关，以及我们追踪为GoReShell的Windows后门。该后门用Go语言实现，利用开源reverse_ssh工具建立与攻击者控制端点的反向SSH连接。

我们以高置信度评估PurpleHaze为东大关联行为者，松散关联至APT15（又称Nylon Typhoon）。该对手以全球关键基础设施（如电信、信息技术和政府组织）为目标，与我们对PurpleHaze的多次遭遇一致。

ShadowPad入侵

2024年6月（PurpleHaze针对SentinelOne前四个月），SentinelLABS观察到针对同一南亚政府实体的威胁活动。在获取的样本中，我们识别出ShadowPad——被多个疑似东大关联威胁行为者用于网络间谍的模块化后门平台。近期ShadowPad活动还包括勒索软件部署，动机不明——是为财务收益还是作为干扰、嫁祸或清除证据手段。

我们获取的ShadowPad样本使用ScatterBrain（ScatterBee混淆机制的演进版）混淆。行业合作伙伴Google威胁情报组（GTIG）自2022年也观察到ScatterBrain混淆的ShadowPad样本，并将其归因于疑似东大APT41相关集群。

强化运营生态的经验教训

对PurpleHaze集群的分析，尤其是通过第三方服务提供商入侵引入的潜在间接风险，强化了关于运营安全和供应链监控的关键洞察。即使我们自身基础设施未受影响，曾关联业务物流的外部服务提供商遭针对也凸显重要考量。

立即提醒是：需保持对内部资产及相邻服务提供商（尤其曾接触敏感员工设备或物流信息者）的实时感知。当供应链附近发生事件时，勿等待确认入侵。主动触发对资产清单、采购流程、OS镜像及部署脚本和分段策略的内部审查，以快速识别暴露路径并降低下游风险。

网络威胁情报的战略价值

当今威胁环境中，威胁情报已从边缘功能演变为企业防御的核心支柱——尤其对安全领域的私营机构。随着威胁行为者日益针对安全厂商以获取内部访问、滥用合法渠道及供应链渗透，CTI在预测和瓦解这些策略中的作用愈发关键。

此价值的最切实例证之一在内部人才招聘和内部威胁防御中。情报成为识别朝鲜IT工作者等国家支持的操作者虚假嵌入组织的前线资产。通过标记可疑申请模式、交叉引用别名历史及追踪已知手法，CTI团队帮助招聘经理和HR防范潜在内部事件。

我们的CTI能力也须直接支持销售和渠道运营。随着犯罪集团日益冒充合法企业通过受信经销商获取安全产品，情报在验证客户合法性及识别异常购买行为中起关键作用。通过将情报洞察集成至售前审查流程，关键保护层确保对手无法简单“购买”进入我们的技术栈。

内部，威胁情报指导并强化我们防御自身技术和供应链抵御高度针对性APT活动的能力。从理解对手如何逆向工程我们的软件，到发现其试图攻陷技术栈的哪些部分，CTI支持主动强化、智能遥测优先级排序及与产品和工程团队的有意义协作。本质上，情报作为早期预警系统和战略指南，确保防御领先于不断演变的威胁。

分享

Tom Hegel

Tom Hegel是SentinelOne的首席威胁研究员，背景为恶意行为者、恶意软件及全球事件的检测与分析，专注于网络领域。其过往研究聚焦影响全球个人和组织的威胁，主要为针对性攻击者。

Aleksandar Milenkoski

Aleksandar Milenkoski是SentinelLabs的高级威胁研究员，专长恶意软件研究及针对性攻击，兼具实践与深度洞察。他拥有系统安全博士学位，撰写了多份关于网络间谍和高影响网络犯罪行动的报告、会议演讲及同行评审论文。2011至2014年，他是欧盟玛丽·居里研究学者，其研究获SPEC、巴伐利亚科学基金会和维尔茨堡大学奖项。

Jim Walter

Jim Walter是SentinelOne的高级威胁研究员，专注于网络犯罪和犯罪软件生态中的趋势、行为者和战术演变。他擅长发现和分析新兴网络犯罪“服务”及中级犯罪组织利用的通讯渠道。加入SentinelOne前，他在一家安全初创公司从事恶意软件研究和有组织犯罪分析约4年，此前在McAfee/Intel领导威胁情报和高级威胁研究团队17年。

相关文章

Ghostwriter | 新活动针对乌克兰政府和白俄罗斯反对派

2025年2月25日

朝鲜IT工作者 | 活跃空壳公司网络及其与东大关联

2024年11月21日

FIN7重启 | 网络犯罪团伙通过新EDR绕过和自动化攻击增强运营

2024年7月17日