Murky Panda’nın belirlediği sofistike bir Çin-Nexus tehdit oyuncusu, 2024’ün sonlarından bu yana Kuzey Amerika’daki hükümet, teknoloji, akademik, yasal ve profesyonel hizmetler varlıklarına karşı kapsamlı siber bekârlık operasyonları yürüterek önemli bir siber güvenlik kaygısı olarak ortaya çıktı.
Bu gelişmiş kalıcı tehdit grubu, bulut ortamının sömürülmesinde ve güvenilir ilişki uzlaşmalarında olağanüstü yetenekler göstermektedir ve devlet destekli siber faaliyetlerde ilgili bir evrimi işaret etmektedir.
Düşman, hem N-Day hem de sıfır gün güvenlik açıklarını hızla silahlandırma yeteneği yoluyla kendisini zorlu bir güç olarak belirledi ve internete bakan cihazlardan yararlanarak sıklıkla başlangıç erişimi sağladı.
Murky Panda’nın operasyonları, istihbarat toplama hedeflerine odaklanmaları ile karakterize edilir, belgelenmiş e-posta açığa çıkma vakaları ve yüksek profilli hedeflerden hassas belge hırsızlığı.
Crowdstrike araştırmacıları, Murky Panda’nın etkinliğini bulut bilinçli yaklaşımı ve ileri operasyonel güvenlik önlemleri ile özellikle dikkate aldı.
Tehdit grubunun sofistike tradecraft, zaman damgalarının değiştirilmesini ve tespitten kaçınmak ve atıf çabalarını karmaşıklaştırmak için uzlaşma göstergelerini sistematik olarak silme içerir.
Operasyonları, endüstri kaynakları tarafından İpek Tayfun olarak izlenen daha geniş Çin-Nexus hedefli saldırı faaliyetleriyle uyumludur.
Grubun cephaneliği, genellikle Çin düşmanları tarafından kullanılan Neo-Regeorg gibi web mermilerinin konuşlandırılmasını ve düşük prevalence özel kötü amaçlı yazılım ailesine erişimi içeriyor.
Buna ek olarak, Murky Panda, Vanguard Panda gibi diğer Çin tehdit aktörleri tarafından kullanılan taktikleri yansıtarak, operasyonel altyapı olarak tehlikeye atılan küçük ofis/ev ofis cihazlarından yararlanmada yeterlilik göstermiştir.
Güvenilir-İlişki Bulutu Sömürü Teknikleri
Murky Panda’nın en ayırt edici yeteneği, bulut ortamlarında güvenilir ilişkiler uzlaşmaları yapmakta ve nispeten nadir ve az bir şekilde bağlanan bir saldırı vektörünü temsil etmektedir.
Grup, hizmet olarak yazılım sağlayıcılarını tehlikeye atmak için sıfır günlük güvenlik açıklarından başarıyla yararlandı ve daha sonra aşağı akış müşterilerine yanal olarak hareket etmeye erişimlerini sağladı.
Belgelenmiş vakalarda, düşman, müşteri erişim yönetimi için Entra ID kullanan güvenliği ihlal edilmiş SaaS sağlayıcılarından uygulama kayıt sırları elde etti.
Hizmet müdürleri olarak kimlik doğrulaması yaparak, Murky Panda, alt müşteri ortamlarına yetkisiz erişim elde ederek e -posta erişimini ve veri açığa çıkmasını sağladı.
Bu sofistike teknik, bulut mimarisi ve kimlik yönetim sistemleri hakkında derin anlayışlarını göstermektedir.
Tehdit oyuncusu ayrıca Microsoft Cloud Solution sağlayıcılarını da hedefledi ve yeni oluşturulan kullanıcı hesapları ve değiştirilmiş hizmet ana konfigürasyonları aracılığıyla sürekli arka planlar kurarak, birden fazla alt müşteri kiracısında küresel yönetici erişimini sağlamak için devredilen idari ayrıcalıklardan yararlandı.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.