Yakın zamanda piyasaya sürülen 2025 tehdit avı raporunda Crowdstrik, ilginç bir eğilim gösterdi: bulut saldırılarında% 136 artış. Bu dalgalanmanın iyi bir kısmı, aralarında “Çin-Nexus rakipleri”, Murky Panda (diğer adıyla İpek Typhoon).
Murky Panda’s çalışma modu
Grup en az 2023’ten beri aktiftir ve öncelikle Kuzey Amerika’daki hükümet, teknoloji, akademi, yasal ve profesyonel hizmet varlıklarını ihlal etmeye ve onlardan hassas bilgileri çalmaya odaklanmaktadır.
Grup şu şekilde bilinir:
- Başlangıç erişim için İnternet’e bakan cihazlarda N-Day ve Sıfır Gün Güvenlik Açıklarından yararlanmak (örneğin, CVE-2023-3519, Citrix NetScaler ADC ve Gateway ve CVE-2025-3928’i etkileyen Commvault’un yedekleme platformunu etkileyen)
- Web kabuklarını dağıtmak (örneğin Neo-regeorg) uzlaşmış sistemlerde
- CloudedHope’u Kullanma, Uzaktan Erişim İşlevselliği ile Özel Linux Kötü Yazılım
- Nihai çıkış düğümleri olarak hedeflerin ülkelerinde yer alan güvenliği ihlal edilmiş Soho cihazlarını kullanmak, saldırıların yerel olarak ortaya çıktığı görülüyor
Ancak, en önemlisi, bulut ortamlarından ödün vermek ve amaçlanan kurbanlarına ulaşmak için içindeki/aralarındaki güvenilir ilişkileri kullanmak için bir tutkuya da sahipler.
Bulut (lar)
“Crowdstrike tarafından analiz edilen en az iki durumda, Murky Panda, Hizmet Olarak Yazılım (SaaS) sağlayıcılarının bulut ortamlarına ilk erişimi elde etmek için sıfır gün güvenlik açıklarından yararlandı. Uzlaşmanın ardından, [the group] Uzaklıklı SaaS bulut ortamlarının mantığını belirleyerek, aşağı akış müşterilerine yanal olarak hareket etmek için bu yazılıma erişimlerinden yararlanmalarını sağladı ”dedi.
“En az bir SaaS sağlayıcı kurbanı, SaaS uygulamasının aşağı akış müşterilerinin verilerine erişimini yönetmek için Entra ID’yi kullanıyordu. Bu saldırıda, bu girişin, daha sonra, bu başvurunun hizmet prensiplerine hizmet verdiği ve daha sonra, bu uygulamanın öne geçmesi için, bu hizmet prensiplerine girişimi sağladığı, bu girişin uygulama kayıt sırrına neredeyse kesinlikle erişim elde etti. aşağı akış müşterileri. “
Araştırmacılar sağlayıcıya isim vermediler, ancak açıklamaları Şubat 2025’in Commvault’un Microsoft Azure bulut ortamının ihlali ve müşterilerinin M365 ortamlarına uyuyor gibi görünüyor.
Başka bir saldırıda, Murky Panda, devredilen idari ayrıcalıklar (DAP) yoluyla bir aşağı akış müşterisine kiracılar arası erişime sahip bir Microsoft Cloud çözüm sağlayıcısından ödün verdi.
Grup bu erişimi kullandı ve Küresel yönetici Aşağı akış kurbanı kiracısında yeni bir kullanıcı oluşturmak ve bu kullanıcıyı birkaç önceden var olan gruba eklemek için ayrıcalıklar ve tehlikeye atılmış yüksek ayrıcalıklı bir kullanıcı hesabı.
“Bu önceden var olan gruplardan biri arka kapı kullanıcısını verdi Uygulama Yöneticisi Bulanık Panda’nın önceden var olan hizmet prensiplerine sır eklemesine izin veren ayrıcalıklar. Yeni eklenen sırlar üzerinde kontrol ile, [the threat actor] Bu hizmet müdürleri olarak başarıyla doğrulandı, böylece ayrıcalıklarını geri yüklenen hizmet müdürlerininkine yükseltti. ”
Bu ayrıcalıklarla, grup e -postaları okuyabildi ve başvuru kayıtlarına ve hizmet prensiplerine (daha fazla kalıcılık için) sır ekleyebildi.
“Murky Panda şu anda bulutta güvenilir ilişki uzlaşmaları yapan birkaç izlenmiş rakipten biridir. Etkinliğin nadirliği nedeniyle, bir kurbanın bulut ortamına yapılan ilk erişim vektörü, geçerli bulut hesapları gibi daha belirgin başlangıç erişim vektörlerine kıyasla ve kamuoyuna bakan uygulamaları ortaya koyan, örgütler için ortaya çıkan savunma önermelerini paylaştı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!