Çin bağlantılı gelişmiş Kalıcı Tehdit (APT) Grubu İpek Typhoon, bulutta güvenilir ilişkilerden ödün vermek için nadir bir yetenek göstermiştir.
Bu, İpek Typhoon grubunu “Murky Panda” olarak adlandıran CrowdStrike’ın yeni araştırmalarından elde edilen temel paketlerden biri. Bir diğeri, APT grubunun N-Day ve sıfır gün güvenlik açıklarını hızla silahlandırma yeteneği, Citrix NetScaler ADC ve Netscaler Gateway ve CVE-2015-3928’de CVE-2023-3519 gibi güvenlik açıkları yoluyla sistemlere başlangıç erişimini elde etmektir.
Crowdstrike, grubun bazı taktikleri, teknikleri ve prosedürlerini (TTP’ler) detaylandırdı – hizmet (SAAS) sağlayıcısı olarak yazılımın iki uzlaşmasına ek olarak.
İpek Typhoon’un taktikleri arasında tehlikeye atılan Soho cihazlarını, diğer Çinli APT grupları tarafından aktivitelerini “kurbanın bulunduğu aynı ülkeden kaynaklanan meşru faaliyet” olarak maskelemek için kullanan son çıkış düğümü olarak kullanıyor.
Grup, RDP, Neo-Regeorg gibi web kabuklarını ve bazen de tehlikeye atılan ağlar içinde yanal olarak hareket etmek ve kalıcılık oluşturmak, oradan bulut ortamlarına döndürmek için CloudedHope gibi kötü amaçlı yazılımları kullandı.
İpek Typhoon Tedarik Zinciri Saldırıları
Crowdstrike araştırmacıları blog yazılarında, İpek Typhoon sadece “bulutta güvenilir ilişki uzlaşmaları yapan birkaç izlenmiş rakip” ten biridir. “Etkinliğin nadirliği nedeniyle, bir kurbanın bulut ortamına yönelik bu ilk erişim vektörü, geçerli bulut hesapları ve kamuya dönük uygulamalardan yararlanma gibi daha belirgin başlangıç erişim vektörlerine kıyasla nispeten düşüktür.”
Nadiren kullanılan başlangıç erişim vektörü sayesinde, grup “aşağı akış kurbanlarına erişimlerinin tespit edilmesini ve uzun süreli erişimi sağladığını” istiyor.
Crowdstrike, grubun yazılım tedarik zinciri saldırılarının iki örneğini detaylandırdı.
Grup, SaaS sağlayıcılarının bulut ortamlarına ilk erişim için sıfır gün güvenlik açıklarından yararlandı, daha sonra “tehlikeye atılan SaaS bulut ortamlarının mantığını belirledi ve bu yazılıma erişimlerini aşağı akış müşterilerine yanal olarak hareket ettirmelerini sağladı.”
SaaS sağlayıcılarından en az biri, uygulamasının aşağı akış müşterilerinin verilerine erişimini yönetmek için Entra ID’yi kullanıyordu. Tehdit aktörleri, grubun uygulamanın hizmet müdürleri olarak kimlik doğrulaması yapmak ve müşteri ortamlarına giriş yapmak ve daha sonra müşteri e -postalarına erişmek için kullanabildiği SaaS sağlayıcısının başvuru kayıt sırrına erişim kazanmıştır.
Diğer olayda, İpek Typhoon, müşteri Entra kiracılarına devredilen idari ayrıcalıklar (DAP) aracılığıyla erişimi kullanarak bir Microsoft bulut çözüm sağlayıcısından ödün verdi. Tehdit aktörleri yönetici aracı grubunda bir kullanıcıyı tehlikeye atmışlardı ve bu nedenle tüm aşağı akış müşterilerinin kiracılarında küresel yönetici ayrıcalıklarına sahipti ”ve ayrıcalıklarını oradan yükseltti.
İpek tayfuna karşı savunmak
CrowdStrike, Entra ID Service ilkelerin kimlik bilgilerini, özellikle yeni eklenen kimlik bilgilerini denetleme gibi ipek tayfun etkinliğini tespit etmek için çeşitli öneriler sundu.
Başka bir öneri, Microsoft Graph etkinlik günlüklerinin, Microsoft Graph aracılığıyla erişilen kaynakları izlemesini sağlamaktır ve hangi hizmet ana müdürü bunlara erişir.
Diğer öneriler arasında beklenen eylemlerden sapan hizmet ana faaliyetleri avlanması ve Beklenmedik Ağlardan Entra ID Service Ana Oturum Açma İlanları için avlanma yer alıyor.