Ocak 2021’de Microsoft Exchange sunucularındaki güvenlik kusurlarının sıfır gün sömürülmesinin arkasındaki Çin astarlı tehdit oyuncusu, şirket ağlarına ilk erişim elde etmek için bilgi teknolojisi (BT) tedarik zincirini hedeflemek için taktiklerini kaydırdı.
Bu, Microsoft Tehdit İstihbarat Ekibinin yeni bulgularına göre, İpek tayfun (eski adıyla Hafnium) Hacking Group artık bir dayanak elde etmek için uzaktan yönetim araçları ve bulut uygulamaları gibi BT çözümlerini hedefliyor.
Tech Giant, bugün yayınlanan bir raporda, “Bir kurbanı başarıyla tehlikeye attıktan sonra, İpek Typhoon, müşteri ağlarına sızmak için çalınan anahtarları ve kimlik bilgilerini kullanıyor ve daha sonra Microsoft Hizmetleri ve diğerleri de dahil olmak üzere çeşitli konuşlandırılmış uygulamaları kötüye kullanabilecekleri,” dedi.
Düşmanca kolektifin “iyi kaynaklı ve teknik olarak verimli” olarak değerlendirildiği, hızla saldırılarını ölçekte ve çok çeşitli sektörler ve bölgelerde ölçeklendirmelerine izin veren fırsatçı saldırılar için sıfır gün güvenlik açıkları için istismarları kullanmayı hızla kullanıyor.
Bu, bilgi teknolojisi (BT) hizmetleri ve altyapı, uzaktan izleme ve yönetim (RMM) şirketleri, yönetilen hizmet sağlayıcılar (MSP’ler) ve bağlı kuruluşlar, sağlık, hukuk hizmetleri, yüksek öğrenim, savunma, hükümet, hükümet dışı kuruluşlar (STK), enerji ve ABD’de ve dünyanın dört bir yanında yer almaktadır.
İpek tayfun, komuta yürütme, kalıcılık ve mağdur ortamlarından veri ortaya çıkmasını sağlamak için çeşitli web kabuklarına dayanarak da gözlenmiştir. Ayrıca, bulut altyapısının keskin bir anlayışını gösterdiği ve daha da yanal olarak hareket etmesine ve ilgi çeken verileri hasat etmesine izin verdiği söyleniyor.
En azından 2024’ün sonlarından bu yana, saldırganlar, aşağı akışlı müşterilerin tedarik zinciri uzlaşmaları yürütmek için ayrıcalık erişim yönetimi (PAM), bulut uygulama sağlayıcıları ve bulut veri yönetimi şirketleriyle ilişkili çalıntı API anahtarlarının ve kimlik bilgilerinin kötüye kullanılması ile ilgili yeni bir dizi yöntemle bağlantılıdır.
Microsoft, “API anahtarı üzerinden elde edilen erişimden yararlanan aktör, bir yönetici hesabı aracılığıyla hedeflenen cihazlarda keşif ve veri toplama gerçekleştirdi.”
İpek Typhoon tarafından benimsenen diğer başlangıç erişim yollarından bazıları, Ivanti Pulse Connect VPN’de (CVE-2025-0282) bir güvenlik gününün sıfır gününün sömürülmesini ve Github ve diğerlerinde barındırılan halka açık depolardan çıkarılan kurumsal kimlik bilgileri kullanılarak şifre sprey saldırılarının kullanılmasını gerektirir.
Ayrıca, tehdit oyuncusu tarafından sıfır gün olarak sömürülen –
- CVE-2024-3400, Palo Alto Networks güvenlik duvarlarında bir komut enjeksiyon kusuru
- CVE-2023-3519, Citrix NetScaler Uygulama Dağıtım Denetleyicisi (ADC) ve NetScaler Gateway’i etkileyen kimlik doğrulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığı
- CVE-2021-26855 (aka Proxylogon), CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065, Microsoft Exchange Server
Başarılı bir başlangıç erişimini, tehdit oyuncusu, şirket içi ortamlardan bulut ortamlarına yanal olarak hareket etmek için adımlar atıyor ve MSGRAPH API’sı aracılığıyla e-posta, onedrive ve SharePoint veri eksfiltrasyonunu gerçekleştirmek için idari izinlerle OAuth uygulamalarından yararlanıyor.
Kötü niyetli faaliyetlerinin kökenini gizlemek için İpek Typhoon, Çince devlet destekli birkaç aktörün ayırt edici özelliği olan uzlaşılmış siberoam aletleri, zyxel yönlendiricileri ve QNAP cihazlarını içeren bir “covertNetwork” e güveniyor.
Microsoft, “Son aktiviteler ve bu aletlerin tarihsel olarak sömürülmesi sırasında, ipek tayfun, kalıcılığı korumak ve aktörlerin mağdur ortamlarına uzaktan erişmesine izin vermek için çeşitli web mermileri kullandı.” Dedi.