Siber güvenlik araştırmacıları, bir Çin-Nexus siber casusluk grubu tarafından düzenlenen kötü niyetli etkinliklere dikkat çekiyorlar. Murky Panda Bu, kurumsal ağları ihlal etmek için buluttaki güvenilir ilişkilerin kötüye kullanılmasını içerir.
Crowdstrike, Perşembe raporunda, “Düşman ayrıca N-Day ve Sıfır Gün Güvenlik Açıklarını hızlı bir şekilde silahlandırma konusunda önemli bir yetenek gösterdi ve internete bakan cihazlardan yararlanarak sık sık hedeflerine ilk erişimi sağlıyor.” Dedi.
İpek Typhoon (eski Hafnium) olarak da bilinen Murky Panda, en iyi 2021’de Microsoft Exchange Server kusurlarının sıfır gününün sömürülmesi ile bilinir. Hacking grubu tarafından monte edilen saldırılar, Kuzey Amerika’daki hükümet, teknoloji, akademik, yasal ve profesyonel hizmet varlıklarını hedeflemiştir.
Bu Mart ayının başlarında Microsoft, tehdit oyuncunun taktiklerdeki değişimini detaylandırdı ve kurumsal ağlara ilk erişim elde etmek için bilgi teknolojisi (BT) tedarik zincirini hedeflemesini detaylandırdı. Murky Panda’nın operasyonlarının istihbarat toplama tarafından yönlendirildiği değerlendirildi.
Diğer Çin hack grupları gibi, Murky Panda da ilk erişim elde etmek için internete bakan cihazlardan yararlandı ve hedeflenen ülkede coğrafi konumlandırılan küçük ofis/ev ofisi (SOHO) cihazlarından, algılama çabalarını engellemek için bir çıkış düğümü olarak tehlikeye attığına inanılıyor.
Diğer enfeksiyon yolları arasında Citrix NetScaler ADC ve NetScaler Gateway (CVE-2023-3519) ve CommVault (CVE-2025-3928) ‘de bilinen güvenlik kusurlarının kullanılması yer alır. İlk erişim, ısrar etmek ve sonuçta CloudedHope adlı özel bir kötü amaçlı yazılım bırakmak için Neo-Regeorg gibi web mermilerini dağıtmak için kullanılır.
64 bit ELF ikili ve GoLang’da yazılmış bir bulutlu bulut, zaman damgalarını değiştirme ve radarın altında uçmak için mağdur ortamlarındaki varlığının göstergeleri gibi anti-analizi ve operasyonel güvenlik (OPSEC) önlemleri kullanırken temel bir uzaktan erişim aracı (sıçan) olarak işlev görür.
Ancak Murky Panda’nın Tradecraft’ın dikkate değer bir yönü, ortak kuruluşlar ve bulut kiracıları arasındaki güvenilir ilişkilerin kötüye kullanılmasıyla ilgili olarak, hizmet olarak yazılım (SaaS) sağlayıcıların bulut ortamlarını ihlal etmek ve aşağı akış kurbanlarına yanal hareketi yürütmek için sıfır gün güvenlik açıklarından yararlanıyor.
2024’ün sonlarında gözlemlenen en az bir örnekte, tehdit oyuncusunun bir Kuzey Amerika varlığının tedarikçisini tehlikeye attığı ve Tedarikçinin geçici bir arka kapı Entra kimlik hesabı eklemek için kurban kuruluşunun Entra Kimlik Kiracısına idari erişimini kullandığı söyleniyor.
Crownstrike, “Bu hesabı kullanarak, tehdit oyuncusu daha sonra Active Directory yönetimi ve e -postalarla ilgili birkaç önceden var olan Entra ID hizmet ilkelerini geri yükledi.” Dedi. “Düşmanların hedefleri, e -postalara erişmeye odaklanmalarına dayanarak doğada hedeflenen ortaya çıkıyor.”
Murky’den Genesis’e
Bulut hizmetlerini manipüle etme konusunda becerikli olan bir başka Çin bağlantılı tehdit oyuncusu Genesis PandaTemel pespiltrasyon için altyapı kullanılarak gözlemlenen ve Bulut Servis Sağlayıcısı (CSP) hesapları, erişimi genişletmek ve geri dönüş kalıcı mekanizmalar oluşturmak için hedefleme.
En azından Ocak 2024’ten beri aktif olan Genesis Panda, finansal hizmetleri, medyayı, telekomünikasyonları ve 11 ülkeyi kapsayan teknoloji sektörlerini hedefleyen yüksek hacimli operasyonlara atfedildi. Saldırıların amacı, gelecekteki istihbarat toplama faaliyetine erişim sağlamaktır.
İlk erişim brokeri olarak hareket etme olasılığı, grubun çok çeşitli web’e dönük güvenlik açıkları ve sınırlı veri açığa çıkmasından kaynaklanmaktadır.
Crowdstrike, “Genesis Panda çeşitli sistemleri hedef alsa da, yanal hareket, kalıcılık ve numaralandırma için bulut kontrol düzleminden yararlanmak için bulut barındırılan sistemlerden ödün vermeye tutarlı ilgi gösteriyorlar.” Dedi.
Düşman, bulut kontrol düzlemi ve numaralandırma ağı ve genel örnek konfigürasyonları için kimlik bilgileri elde etmek üzere buluta barındırılan bir sunucu ile ilişkili örnek meta veri hizmetinin (IMDS) sorgulanmasını “sürekli” gözlemlemiştir. Ayrıca, hedefin bulut hesabına daha derinlere gömülmesi için muhtemelen tehlikeye atılmış sanal makinelerden (VMS) elde edilen kimlik bilgilerini kullandığı bilinmektedir.
Bulgular, Çin hack gruplarının bulut ortamlarında nasıl kırılmaya ve gezinmede giderek daha becerikli hale geldiğini, aynı zamanda sürekli erişim ve gizli veri hasatını sağlamak için gizli ve kalıcılığa öncelik verdiğini göstermektedir.
Buzul Panda Strikes telekom sektörü
Crowdstrike başına telekomünikasyon sektörü, geçtiğimiz yıl boyunca ulus-devlet faaliyetlerinde, öncelikle bir istihbarat hazinesi olmaları nedeniyle% 130’lık bir artışa tanık oldu. Endüstri dikeyinde manzaralarını eğitmek için en son tehdit oyuncusu, Buzul panda.
Hacking grubunun coğrafi ayak izi Afganistan, Hong Kong, Hindistan, Japonya, Kenya, Malezya, Meksika, Panama, Filipinler, Tayvan, Tayland ve ABD’yi kapsıyor.
Siber güvenlik şirketi, “Buzul panda büyük olasılıkla istihbarat toplama amaçları için hedefli müdahaleler yürütüyor, çağrı detay kayıtlarına ve ilgili iletişim telemetrilerini birden fazla telekomünikasyon kuruluşundan erişiyor.” Dedi.
“Düşman, eski telekomünikasyon teknolojilerini destekleyen eski işletim sistemi dağıtımları da dahil olmak üzere, telekomünikasyon endüstrisinde tipik Linux sistemlerini hedefliyor.”
Tehdit oyuncusu tarafından uygulanan saldırı zincirleri, internete bakan ve yönetilmeyen sunuculara yönelik bilinen güvenlik açıklarını veya zayıf şifreleri kullanır, takip faaliyetleri CVE-2016-5195 (Dirty Cow) ve CVE-2021-4034 (aka pwnkit) gibi ayrıcalık artış hatalarını kullanır.
Glacial Panda’nın müdahaleleri, toprakların yaşamı (LOTL) tekniklerine güvenmenin yanı sıra, kullanıcı kimlik doğrulama oturumları ve kimlik bilgileri toplamak için toplu olarak kodlanan truva openssh bileşenlerinin dağıtımının yolunu açar.
CrowdStrike, “Kalkan kayması troğanlı SSH sunucusu ikili, sabit kodlu bir şifre girildiğinde herhangi bir hesabı (kök dahil) kimlik doğrulamasına da arka kapı erişimi sağlar.” Dedi.