What It Takes to Defend a Cybersecurity Company from Today's Adversaries

Source | HN Comments

文章探讨了网络安全公司面临的威胁，尤其是作为攻击目标。SentinelOne 揭示了其防御策略，包括应对朝鲜 IT 工作者伪装求职、勒索软件集团利用安全产品漏洞以及中国国家支持的攻击者。文章强调了威胁情报在内部招聘、销售和供应链安全中的关键作用，并提出了加强运营生态系统、跨部门协作和供应链威胁建模的建议，以提升防御能力。

标题：顶级目标：保护一家网络安全公司免受当下攻击者侵害需要什么 | SentinelOne

![Search Icon White](data:image/svg+xml;utf8,) ![Navigation Close](data:image/svg+xml;utf8,) ABOUT CVE DATABASE CONTACT VISIT SENTINELONE.COM Adversary

Top Tier Target | 保护一家网络安全公司免受当下攻击者侵害需要什么

Tom Hegel, Aleksandar Milenkoski & Jim Walter / April 28, 2025

执行摘要

近几个月来，SentinelOne 观察并防御了来自各种攻击的威胁，从以经济利益为动机的犯罪软件到高级民族国家行为者量身定制的活动。
这些事件是攻击者对一家位于美国的网络安全公司的真实入侵尝试，但此类事件对于 SentinelOne 来说既不是新的也不是唯一的。
最近的攻击者包括：
- 伪装成求职者的朝鲜民主主义人民共和国 IT 工作者
- 探测访问/滥用我们平台方式的勒索软件运营者
- 以我们的业务和客户群为目标的中国国家赞助的行为者
本报告重点介绍了一个很少被讨论但至关重要的攻击面：安全供应商本身。

概述

在 SentinelOne，防御现实世界的威胁不仅仅是工作的一部分，而是作为一家网络安全公司在当今环境中的运营现实。我们不只是研究攻击，我们还亲身体验针对我们的攻击。我们的团队面临着我们帮助他人准备应对的相同威胁，而与前线的这种接近程度塑造了我们的思考方式和运营方式。针对我们自身环境的实际攻击充当着持续的压力测试，加强了有效的方法，揭示了无效的方法，并推动了我们产品和运营的持续改进。当您成为一些最有能力和最持久的攻击者的高价值目标时，任何低于此标准的情况都是不可接受的。

对于任何组织来说，谈论成为攻击目标都是令人不舒服的。对于网络安全供应商来说，这几乎是一个禁忌。但事实是，安全供应商在访问、责任和攻击者愤怒方面处于一个有趣的交叉点，这使得我们成为各种威胁行为者的主要目标，而且风险再高不过了。当攻击者攻陷一家安全公司时，他们不仅仅是攻陷了一个单一的环境，他们还可能深入了解成千上万的环境和数百万个端点是如何受到保护的。

仅在过去的几个月里，我们就观察并防御了范围广泛的攻击，从以经济利益为动机的犯罪软件到高级民族国家行为者量身定制的活动。这些是针对一家位于美国的网络安全公司的真实入侵尝试——由积极寻找优势、访问权限或杠杆的攻击者发起。攻击者包括伪装成求职者的朝鲜民主主义人民共和国 IT 工作者、探测访问/滥用我们平台方式的勒索软件运营者，以及以我们的业务和客户群为目标的中国国家赞助的行为者。

我们当然不是唯一面临这些威胁的人。本着促进集体防御和鼓励进一步合作的精神，我们正在揭开幕布，分享我们所看到的一些情况、为什么重要以及它告诉我们关于不断演变的威胁态势的信息——不仅对我们而言，而且对每个构建和依赖现代安全技术的公司而言。

朝鲜民主主义人民共和国 IT 工作者寻求内部职位

近年来，我们追踪到的一个更广泛和更持久的攻击活动涉及朝鲜民主主义人民共和国附属 IT 工作者广泛开展的活动，他们试图在西方科技公司（包括 SentinelOne）内获得远程就业。早期报告引起了人们对这些努力的关注，并且我们自己的分析进一步揭示了通过中国中介组织洗钱非法资金的后勤基础设施。然而，两者都没有让人感觉到持续渗透尝试的惊人数量。这种载体的速度远远超过我们监控的任何其他内部威胁载体。

这些行为者不仅仅是盲目地申请——他们正在改进他们的流程，利用被盗或捏造的角色，并调整他们的外展策略，以越来越令人信服的方式模仿合法的求职者。我们的团队已经追踪到大约 360 个虚假角色和超过 1,000 份与朝鲜民主主义人民共和国 IT 工作者运营相关的职位申请，这些申请针对 SentinelOne 的职位——甚至包括大胆地试图获得 SentinelLabs 情报工程团队本身的职位。

Public reporting of DPRK IT workers applying to threat intelligence positions 朝鲜民主主义人民共和国 IT 工作者申请威胁情报职位的公开报告

参与和攻击者互动

我们没有保持被动，而是做出了一个深思熟虑的选择，转向情报驱动的参与。在与我们的人才招聘团队协调下，我们开发了工作流程，以在他们的外展的早期阶段识别和与可疑的朝鲜民主主义人民共和国申请人互动。这种合作是关键。通过将轻量级的审查信号和监控直接嵌入到招聘流程中——而不会给招聘团队带来过多的负担——我们能够将与朝鲜民主主义人民共和国附属角色相关的异常模式直接导入到我们的 Vertex Synapse 情报平台以供分析师审查。

我们尝试的互动提供了对这些渗透活动的狡猾性和持久性的罕见见解——特别是攻击者适应他们遇到的摩擦的方式。

Inbound DPRK referral request to strategic employees 针对战略员工的朝鲜民主主义人民共和国入境推荐请求

攻击者正在磨练他们的技能，超越了职位申请和招聘流程。这种规模和性质的运营需要一种不同的后端基础设施，例如庞大的幌子公司网络以进一步实现洗钱和后勤。

DPRK IT Worker Front Company Network (November 2024) 朝鲜民主主义人民共和国 IT 工作者幌子公司网络（2024 年 11 月）

帮助招聘团队帮助我们

在进行这项调查时，一个关键的收获是故意创建渠道并与通常不参与调查的不同团队分享威胁背景的价值。我们没有遇到无知，而是遇到了对情况的直观理解，因为招聘人员已经在他们自己的流程中过滤掉并报告“虚假申请人”。

我们带来了活动层面的理解，并结合了我们人才团队的战术见解。回报是立竿见影的。招聘人员开始自行发现模式，从而推动了早期阶段可疑档案的升级。他们成为了一位积极的合作伙伴，并继续标记来自前线的新发现。反过来，我们正在将这些见解编入自动化系统，这些系统可以标记、过滤、丰富和主动阻止这些活动，以减轻招聘人员和招聘经理的负担，并降低渗透的风险。

使跨职能协作成为标准操作程序：为前线业务部门（从招聘到销售）配备共享的威胁背景和明确的升级途径，以便他们可以在不减慢业务速度的情况下及早发现异常情况。使用自动化系统对见解进行编纂将持续带来双向好处。

朝鲜民主主义人民共和国 IT 工作者威胁是一个独特的复杂挑战——有意义的进展取决于安全研究社区和公共部门合作伙伴之间的合作。

勒索软件集团能力发展

以经济利益为动机的威胁行为者经常以企业安全平台（旨在阻止他们赚钱的产品）为目标，以获取直接访问权限。SentinelOne 与我们的同行一样，也不例外。虽然令人不舒服，但这是该行业不断面临的现实，应该以透明和紧迫的态度处理。

Forum post offering security product access 提供安全产品访问的论坛帖子

对端点安全产品的管理界面或代理安装程序的特权访问为寻求推进其运营的攻击者提供了切实的优势。控制台访问可以用于禁用保护、操纵配置或抑制检测。直接、不受监控地访问端点代理提供了测试恶意软件功效、探索绕过或篡改技术以及抑制对调查至关重要的取证可见性的机会。在错误的人手中，这些能力对安全产品的完整性和它们保护的环境都构成了重大威胁。

这不是一种新的策略。各种引人注目的犯罪集团长期以来专门从事社会工程活动，以获得对核心安全工具和基础设施的访问权限——从 EDR 平台（包括 SentinelOne 和 Microsoft Defender）到 IAM 和 VPN 提供商，例如 Okta。他们的目标：扩大立足点、禁用防御并阻止检测足够长的时间以获利。

最近与 Black Basta 相关的泄露进一步强调了这一趋势。据观察，该组织的运营者在启动攻击之前，跨多个端点安全平台（包括 SentinelOne、CrowdStrike、Carbon Black 和 Palo Alto Networks）进行测试，这表明在部署之前系统地评估和规避安全工具。

Black Basta leak excerpts Black Basta 泄露摘录

经济/生态系统

围绕购买、销售和出租对企业安全工具的访问权限，正在建立一个日益成熟和活跃的地下经济。为了获得合适的价格，有抱负的威胁行为者不断尝试获得对我们 EDR 平台和管理控制台的有时限或持久的访问权限。著名的网络犯罪论坛上充斥着公开宣传此类访问权限的供应商——以及许多积极寻求它的买家。这包括像 XSS[.]is、Exploit[.]in 和 RAMP 这样的长期存在的论坛。

也就是说，更多的这类活动也在转移到保密消息平台（Telegram、Discord、Signal）。例如，Telegram 机器人用于自动交易这种访问权限，而 Signal 通常被威胁行为者用于讨论细微差别、目标定位和初始访问操作。

这种供需动态不仅强大，而且还在加速。围绕这个生态系统已经出现了整个服务产品，包括“EDR Testing-as-a-Service”，行为者可以在其中谨慎地评估针对各种端点保护平台的恶意软件。

Proposed Private EDR testing service 拟议的私人 EDR 测试服务

虽然这些测试服务可能不会授予对全功能 EDR 控制台或代理的直接访问权限，但它们确实为攻击者提供了半私有环境来微调恶意有效负载，而没有暴露的威胁——从而大大提高了在现实世界攻击中成功的几率。

Prospective buyer for EDR installs EDR 安装的潜在买家

然而，访问权限并不总是购买的。威胁行为者经常从信息窃取者日志中收集合法凭据——这是一种获取对企业环境的特权访问权限的常见且低成本的方法。在现有客户重复使用凭据的情况下，这可能会转化为威胁行为者也可以访问安全工具。在更有针对性的行动中，行为者也转向贿赂，向愿意出售其帐户访问权限的员工提供大量资金。

这些内部威胁并非假设。例如，据观察，一些团伙向目标公司的员工提供高达 20,000 美元的奖励以换取内部协助——这种方法在通常交易受损凭据和访问权限的同一暗网论坛中公开讨论。

在防御方面，这需要持续的监控和维护。必须优先考虑态势感知，以便维护平台完整性并保护我们的合法客户。我们的研究团队正在不断监控这种滥用和访问权限“泄漏”的风格，重点关注异常控制台访问和站点令牌使用情况，并采取必要措施来撤销这些访问向量。这禁止了威胁行为者与更广泛的平台进行充分互动，并且基本上使泄漏的代理安装成为孤儿，从而限制了威胁行为者手中代理的使用。

Nitrogen — 威胁运营者“升级”

一些勒索软件运营现在完全绕过地下市场——而是选择更有针对性的、集中精力的人员冒充活动来获得对安全工具的访问权限。Nitrogen 勒索软件集团就是这种方法的缩影。

据信，Nitrogen 由一位资金雄厚的俄罗斯国民运营，该国民与早期的团伙（如 Maze 和 Snatch）有关。Nitrogen 没有购买非法访问权限，而是冒充真实公司——启动外观相似的域名、欺骗性电子邮件地址和克隆的基础设施，以令人信服地冒充合法企业。然后，Nitrogen 在这些虚假借口下购买 EDR 和其他安全产品的官方许可证。

这种社会工程的执行非常精确。Nitrogen 通常以小型、审查不严的经销商为目标——保持互动最少，并依靠经销商不一致的 KYC（了解您的客户）做法来通过漏洞。

这些人员冒充策略为防御者引入了新的复杂性。如果威胁行为者成功地从真正的供应商那里获得了合法的许可证，他们就可以将该产品武器化以测试、规避并可能禁用保护——而无需与犯罪市场打交道。

这突出了安全行业面临的日益增长的挑战：经销商尽职调查和 KYC 执行显然是威胁面的一个组成部分。当这些控制措施薄弱或缺失时，像 Nitrogen 这样的攻击者会获得强大的新方法来提升他们的活动——通常以比黑市更低的成本和更低的风险。

经验教训和内部协作

从追踪以我们的平台为目标的攻击者中获得的最有影响力的经验之一是内部团队之间进行深入、早期协作的价值——特别是那些传统上没有参与威胁响应工作的团队。例如，通过主动与我们的经销商运营和客户成功团队互动，我们可以发现有关可疑许可证请求、经销商行为异常和业务不一致的有价值的信号，否则这些信号可能未被注意到。

通过创建共享的剧本、嵌入轻量级的威胁背景并建立明确的升级途径，被动流程变成了主动信号源。现在，可疑的许可活动——尤其是在与规避行为或不匹配的域元数据配对时——可以在工作流程中更早地浮出水面。

为了扩大这项工作，我们越来越倾向于自动化。通过对威胁模式（例如域注册启发式、行为元数据不匹配和经销商不一致）进行编纂，组织可以自动进行传入许可证请求的丰富和风险评分。然后，这可以用于动态过滤、标记，在某些情况下，自动阻止高风险活动，然后才能进入入职流程。

攻击者利用销售流程（无论是通过人员冒充、社会工程还是强力凭据使用）的日益增长的趋势意味着安全供应商必须将每个访问向量（包括商业和运营渠道）视为攻击面的一个组成部分。使跨职能威胁意识成为标准操作程序并在业务系统的边缘集成检测逻辑至关重要。

我们正在以安静的方式继续改进这项工作。虽然我们不会在此处分享每个检测逻辑（原因很明显），但我们鼓励行业中的其他人寻求类似的内部合作伙伴关系。销售和支持团队可能已经看到了滥用的迹象——安全团队只需要给他们识别它的镜头。

中国国家赞助的攻击者

一个值得注意的活动发生在过去的几个月中，涉及对 SentinelOne 的基础设施和我们防御的特定高价值组织的侦察尝试。我们最初是在 2024 年对一家以前为 SentinelOne 员工提供硬件物流服务的组织进行的入侵期间意识到这个威胁集群的。我们将这个活动集群称为 PurpleHaze，它在技术上与多个公开报告的中国 APT 重叠。

PurpleHaze 活动集群

在几个月的时间里，SentinelLABS 观察到该威胁行为者进行了多次入侵，包括对一家南亚政府支持实体（该实体在多个行业提供 IT 解决方案和基础设施）的入侵。这项活动涉及广泛的基础设施，我们将其中的一些与运营中继箱 (ORB) 网络相关联，还有一个我们跟踪为 GoReShell 的 Windows 后门。该后门是用 Go 编程语言实现的，并使用来自开源 reverse_ssh 工具的功能来建立与攻击者控制的端点的反向 SSH 连接。

SentinelLABS 统一跟踪 PurpleHaze 这个名称下的这些活动。我们高度确信 PurpleHaze 是一个与中国相关的行为者，并将其与 APT15（也称为 Nylon Typhoon 或其他各种过时的别名）松散地联系起来。众所周知，该攻击者在全球范围内以关键基础设施部门（如电信、信息技术和政府组织）为目标——这与我们多次遇到 PurpleHaze 的受害者情况一致。

我们跟踪在针对南亚政府组织的攻击中观察到的 ORB 网络基础设施，发现该基础设施是从中国运营的，并被多个可疑的中国网络间谍活动攻击者（包括 APT15）积极使用。使用 ORB 网络是这些威胁团伙中日益增长的趋势，因为它们可以快速扩展以创建动态和不断发展的基础设施，从而使跟踪网络间谍活动及其归因具有挑战性。此外，GoReShell 恶意软件及其变体（包括受损机器上的部署机制和混淆技术）仅在我们高度确信归因于中国相关行为者的入侵中观察到。

ShadowPad 入侵

2024 年 6 月，在 PurpleHaze 以 SentinelOne 为目标大约四个月之前，SentinelLABS 观察到威胁行为者活动以 2024 年 10 月也成为目标的同一南亚政府实体为目标。在检索到的工件中，我们发现了 ShadowPad 样本，ShadowPad 是一个模块化后门平台，被多个可疑的中国相关威胁行为者用于进行网络间谍活动。最近的 ShadowPad 活动还包括勒索软件的部署，但动机仍然不清楚——是为了经济利益还是作为分散注意力、错误归因或删除证据的手段。

我们检索到的 ShadowPad 样本使用 ScatterBrain 进行了混淆，ScatterBrain 是 ScatterBee 混淆机制的演变。我们的行业合作伙伴 Google Threat Intelligence Group (GTIG) 自 2022 年以来也观察到使用 ScatterBrain 混淆的 ShadowPad 样本，并将它们归因于与可疑的中国 APT 攻击者 APT41 相关的集群。

GTIG APT41 Use of ScatterBrain GTIG APT41 使用 ScatterBrain

确定 2024 年 6 月 ShadowPad 入侵与后来的 PurpleHaze 活动之间特定行为者的重叠仍在继续调查中。我们不排除同一威胁集群的参与，特别是考虑到中国威胁团体之间对恶意软件、基础设施和运营实践的广泛共享，以及不同行为者之间访问转移的可能性。

根据私人遥测，我们确定了使用 ScatterBrain 混淆的 ShadowPad 受到攻击的大量受害者组织。在 2024 年 7 月至 2025 年 3 月期间，此恶意软件在全球各地区 70 多个组织的入侵中使用，涵盖制造业、政府、金融、电信和研究等行业。我们评估认为，威胁行为者主要通过利用 CheckPoint 网关设备中的 n 天漏洞在大多数这些组织中获得最初的立足点，这与先前关于涉及勒索软件部署的 ShadowPad 入侵的研究相一致。

在受害者中，我们发现了先前提到的 IT 服务和物流组织，该组织当时负责管理 SentinelOne 员工的硬件物流。受害者组织已及时收到有关入侵细节的通知，并迅速展开调查。在这一点上，尚不清楚犯罪者的重点是仅在受损组织上，还是他们打算将其范围扩大到客户组织。

对 SentinelOne 的基础设施、软件和硬件资产的详细调查没有发现二次受损的证据。尽管如此，此案例强调了组织所依赖的更大供应商生态系统的脆弱性，以及可疑的中国威胁行为者构成的持续威胁，他们不断寻求建立战略立足点以潜在地攻陷下游实体。

SentinelLABS 将在适当的时候分享有关此主题的详细公开版本，提供有关这些活动的更多技术信息，包括观察到的 TTP、恶意软件和基础设施。

在加强我们的运营生态系统时吸取的经验教训

我们对 PurpleHaze 集群的分析，更具体地说，是对通过受损第三方服务提供商引入的潜在间接风险的分析，加强了围绕运营安全和供应链监控的几个关键见解。即使我们自己的基础设施没有受到影响，以前与业务物流相关的外部服务提供商成为目标也浮出水面。

一个直接的提醒是，不仅要对内部资产保持实时意识，还要对相邻的服务提供商（特别是那些过去或现在有权访问敏感员工设备或物流信息的提供商）保持实时意识。当事件发生在您的供应链附近时，不要等待受损确认。主动触发对资产清单、采购工作流程、操作系统映像和入职部署脚本以及分段策略的内部审查，以快速识别任何暴露途径并降低下游风险。

这导致了几个防御建议：

跨运营利益相关者分发威胁情报 组织应主动与传统安全组织以外的业务部门（特别是那些管理供应商关系、物流和物理运营的部门）共享活动级别的威胁情报。这样做可以更快地检测与受损第三方的重叠，并支持及早重新评估通过外部合作伙伴的暴露情况。
将威胁背景集成到资产归因工作流程中 基础设施和 IT 团队应与威胁情报部门合作，将具有威胁意识的元数据嵌入到资产清单中。这可以在事件响应期间实现更灵敏的范围界定，并提高跟踪可能存在风险的供应链接触点的能力。
扩展供应链威胁建模 组织应改进其威胁建模流程，以明确考虑上游供应链威胁，特别是那些由具有利用承包商、供应商或物流合作伙伴作为间接访问向量历史的民族国家行为者构成的威胁。定制模型以包括特定于攻击者的技术，可以及早识别非常规入侵途径。

虽然归因仍在不断发展，并且受害者影响仍然多种多样，但有一件事是明确的：资源充足的威胁行为者越来越倾向于间接途径进入企业环境。像这样的调查有助于我们磨练我们的防御——不仅围绕传统的数字边界，而且围绕我们组织的整个运营足迹。

网络威胁情报的战略价值

在当今的威胁态势中，威胁情报已从一个利基功能发展成为企业防御的重要支柱——特别是对于在安全领域运营的私营部门组织而言。随着威胁行为者越来越多地以安全供应商为目标，以获取内部访问权限、滥用合法渠道和供应链渗透，CTI 在预测和破坏这些策略中的作用变得比以往任何时候都更加关键。

这种价值最明显的例子之一是内部人才招聘和内部威胁防御。情报已成为识别朝鲜 IT 工作人员和其他国家支持的运营人员以虚假借口将自己嵌入组织中的尝试的前线资产。通过标记可疑的申请人模式、交叉引用别名历史记录和跟踪已知的技术，CTI 团队可以帮助招聘经理和人力资源部门避免潜在的内部事件。

我们的 CTI 功能还必须直接支持销售和渠道运营。随着犯罪团伙越来越多地冒充合法企业以通过受信任的经销商获取安全产品，情报在验证客户合法性并识别异常购买行为方面发挥着关键作用。通过将情报见解集成到预售审查工作流程中，一个关键的保护层正在帮助确保攻击者不能简单地“购买”他们进入我们的技术堆栈的方式。

在内部，威胁情报会告知并增强我们如何针对高度有针对性的 APT 活动防御我们自己的技术和供应链。从了解攻击者如何对我们的软件进行逆向工程到发现他们寻求损害我们的技术堆栈的哪些部分，CTI 能够实现主动强化、更智能的遥测优先级排序以及与产品和工程团队的有意义的协作。从本质上讲，情报充当着预警系统和战略指南——确保我们的防御始终领先于不断演变的威胁一步。

在每个职能部门——无论是人力资源、销售、工程还是安全——网络威胁情报都不再是幕后功能。它已嵌入到我们作为企业进行防御、运营和增长的方式的结构中。

adversary

Tom Hegel

Tom Hegel 是 SentinelOne 的首席威胁研究员。他拥有恶意行为者、恶意软件和全球事件的检测和分析背景，并将其应用于网络领域。他过去的研究主要集中于影响世界各地个人和组织的威胁，主要是目标攻击者。 [ ](https://www.sentinelone.com/labs/top-tier-target-what-it-takes-to-defend-a-cybersecurity-company-