Kinijos valstybės remiama įsilaužimo grupė, žinoma kaip „Murky Panda“ („Silk Typhoon“), išnaudoja patikimus ryšius debesies aplinkoje, kad gautų pradinę prieigą prie tinklų ir duomenų apie pasroviui duomenis.
Mirky Panda, dar žinoma kaip „Silk Typhoon“ („Microsoft“) ir „Hafnium“, yra žinoma dėl to, kad Šiaurės Amerikoje nukreipia vyriausybės, technologijų, akademinių, teisinių ir profesionalių paslaugų organizacijas.
Įsilaužimo grupė su daugybe pavadinimų buvo susieta su daugybe kibernetinių aspektų kampanijų, įskaitant „Microsoft Exchange“ pažeidimų bangą 2021 m. Naujesni išpuoliai apima JAV iždo užsienio turto kontrolės biurą (OFAC) ir užsienio investicijų komitetą.
Kovo mėn. „Microsoft“ pranešė, kad „Silk Typhoon“ pradėjo nukreipti nuotolinio valdymo įrankius ir debesų paslaugas tiekimo grandinės atakose, kad galėtų patekti į vartotojų klientų tinklus.
Patikimų debesų santykių išnaudojimas
Mirkis „Panda“ paprastai įgyja pradinę prieigą prie korporatyvinių tinklų, išnaudodama interneto paveiktų įrenginių ir paslaugų, tokių kaip CVE-2023-3519 trūkumas „Citrix Netscaler“ įrenginiuose, „Proxilogin“ „Microsoft Exchange“ ir CVE-2025-0282 „Ivanti Pulse Connect VPN“.
Tačiau nauja „CrowdStrike“ ataskaita parodo, kaip žinoma, kad grėsmės veikėjai taip pat kenkia debesies paslaugų teikėjams piktnaudžiauti šiomis įmonėmis pasitikėjimu su savo klientais.
Kadangi debesų teikėjams kartais suteikiama įmontuota administracinė prieiga prie klientų aplinkos, užpuolikai, kurie juos kompromituoja, gali piktnaudžiauti šiuo pasitikėjimu, pasukant tiesiai į pasroviui esančius tinklus ir duomenis.
Vienu atveju įsilaužėliai išnaudojo nulinės dienos pažeidžiamumą, kad galėtų įsiveržti į „SaaS“ teikėjo debesų aplinką. Tada jie gavo prieigą prie teikėjo programų registracijos paslapties ENTRA ID, kuris leido jiems autentifikuoti kaip paslaugą ir prisijungti prie paskesnės klientų aplinkos. Naudodamiesi šia prieiga, jie galėjo perskaityti klientų el. Laiškus ir pavogti neskelbtinus duomenis.
Kitoje atakoje „Murky Panda“ sugadino „Microsoft Cloud Solution“ tiekėją su deleguotomis administracinėmis privilegijomis (DAP). Kompromituodami sąskaitą administratorių agentų grupėje, užpuolikai įgijo pasaulinių administratorių teises visuose pasroviui pasroviui nuomininkams. Tada jie sukūrė „Backdoor“ paskyras klientų aplinkoje ir padidino privilegijas, įgalindami atkaklumą ir galimybę pasiekti el. Pašto ir programų duomenis.
„CrowdStrike“ pabrėžia, kad pažeidimai per patikimus santykius yra reti, jie yra mažiau stebimi nei labiau paplitę vektoriai, tokie kaip įgaliojimų vagystė. Išnaudodamas šiuos pasitikėjimo modelius, niūri Panda gali lengviau susimaišyti su teisėtu srautu ir veikla, kad ilgą laiką išlaikytų slaptą prieigą.
Be jų į debesyje orientuotų įsibrovimų, „Murky Panda“ taip pat naudoja įvairius įrankius ir pasirinktinę kenkėjišką programą, kad išlaikytų prieigą ir išvengtų aptikimo.
Užpuoliai paprastai dislokuoja „Neo-Regeorg“ atvirojo kodo žiniatinklio apvalkalą ir „China Chopper“ žiniatinklio apvalkalus, abi plačiai susijusios su Kinijos šnipinėjimo veikėjais, kad nustatytų pažeistų serverių atkaklumą.
Grupė taip pat turi prieigą prie pasirinktinio „Linux“ pagrindu sukurto nuotolinės prieigos trojano (RAT), vadinamo „Cloudedhope“, kuri leidžia jiems valdyti užkrėstus įrenginius ir skleisti toliau tinkle.
„Murky Panda“ taip pat demonstruoja stiprią veiklos saugumą (OPSEC), įskaitant laiko žymų modifikavimą ir žurnalų ištrynimą, kad trukdytų teismo medicinos analizei.
Taip pat žinoma, kad grupė naudoja pažeistus mažų biurų ir namų biuro (SOHO) prietaisus kaip tarpinio serverio serverius, leidžiančius jiems atlikti išpuolius taip, tarsi jie būtų tikslinėje šalies infrastruktūroje. Tai leidžia jų kenksmingam srautui susimaišyti su normaliu srautu ir išvengti aptikimo.
Didelė šnipinėjimo grėsmė
„Crowdstrike“ perspėja, kad niūrus panda/šilko taifūnas yra sudėtingas priešininkas, turintis pažangių įgūdžių ir galimybę greitai ginkluoti tiek nulinę, tiek N dienos pažeidžiamumą.
Jų piktnaudžiavimas patikimais debesų santykiais kelia didelę riziką organizacijoms, kurios naudojasi SaaS ir debesų tiekėjais.
Norėdami ginti nuo niūrių „Panda“ atakų, „CrowdStrike“ rekomenduoja organizacijoms stebėti neįprastą „Entra ID“ paslaugos pagrindinius pasirašymus, vykdyti daugiafaktorinį autentifikavimą debesų teikėjo paskyroms, nedelsdami stebėti ENTRA asmens tapatybės žurnalus ir pataisą su debesimis nukreipta infrastruktūra.
„Mirkis Panda kelia didelę grėsmę vyriausybės, technologijų, teisinėms ir profesionalioms paslaugų subjektams Šiaurės Amerikoje ir jų tiekėjams, turintiems galimybę naudotis neskelbtina informacija“, – reziumuoja „CrowdStrike“.
„Organizacijos, kurios labai priklauso nuo debesies aplinkos, yra įgimtos pažeidžiamos dėl patikimų santykių kompromisų debesyje. Kinijos ir Nexuso priešininkai, tokie kaip„ Murky Panda “, ir toliau naudojasi sudėtingesniu prekyba, kad palengvintų jų šnipinėjimo operacijas, nukreipdamos daugybę sektorių.”
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.
