İpek Typhoon olarak bilinen Çin casusluk grubu, siber saldırıları küresel BT tedarik zincirini hedeflemek için genişletti. Microsoft Tehdit İstihbaratı, grubun taktiklerinde bir değişim belirledi ve uzaktan yönetim araçları ve bulut uygulamaları gibi yaygın olarak kullanılan BT çözümlerine yeni bir odaklanmayı vurguladı. Grubun stratejik amacı, kurban kuruluşlarına ilk erişim elde etmek, ağlara daha fazla sızmalarına ve sofistike casusluk operasyonları gerçekleştirmelerine izin vermektir.
2020’den bu yana, İpek Tayfun en zorlu Çin devlet destekli tehdit aktörlerinden biri haline geldi. Etkinlikleri, yüksek düzeyde beceriklilik ve teknik uzmanlık göstermektedir ve bu da güvenlik açıklarını hızla kullanmalarına izin vermektedir. Tehdit istihbarat taktikleri, bilgi teknolojisi altyapılarındaki sıfır gün güvenlik açıklarını keşfetme ve kullanma konusundaki, özellikle de karşılaşmadan kalan kamuya açık cihazlar. Hızlı operasyonel tempo ve fırsatçı yaklaşımları onları dünyanın en aktif ve tehlikeli siber casusluk gruplarından biri haline getiriyor.
Microsoft, bulut hizmetlerini doğrudan hedefleyen ipek tayfun gözlemlemese de, grup erişimlerini yükseltmek ve erişimlerini organizasyonel ağlara genişletmek için açılmamış yazılım uygulamalarından yararlanmaktadır. Bir kurban tehlikeye atıldıktan sonra, grup, casusluk hedeflerini karşılamak için, bazıları Microsoft hizmetlerini içeren uygulamaları kötüye kullanmak için çalıntı kimlik bilgilerini kullanarak hassas bilgi ve araçlara erişim kazanır.
İpek Typhoon çok çeşitli sektörü hedefler
İpek Typhoon’un saldırılarının kapsamı geniş, bilgi teknolojisi, savunma, hükümet, sağlık, enerji, hukuk hizmetleri, eğitim ve sivil toplum kuruluşları (STK’lar) dahil olmak üzere çeşitli sektörleri hedef alıyor. Bu saldırılar c değilİpek tayfun hem Amerika Birleşik Devletleri hem de uluslararası alanlarda organizasyonları hedefleyen herhangi bir bölgeye yöneliktir. Etkinlikleri, grubun özellikle hassas verilere sahip veya küresel altyapıda kritik bir rol oynayan sektörlerle ilgilendiğini göstermektedir.
Bulut ortamları hakkındaki sofistike anlayışları, kurban ağlarından kolaylıkla yanal olarak hareket etmelerini sağlar. Bu özellik, grubun kalıcılığı korumasına, ayrıcalıkları artırmasına ve değerli verileri hızla dışarı atmasına yardımcı olur. Microsoft Tehdit İstihbaratı İpek Typhoo’nun faaliyetlerini izledin 2020’den bu yana, grubun komutları yürütmek için web kabuklarının kullanılmasını ve tehlikeye atılan ortamlara sürekli erişimi sürdürmeyi içeren operasyonel yöntemler hakkında önemli bilgiler sağlar.
BT tedarik zincirlerinden ödün vermek
2024’ün sonlarında ipek tayfun izlemeye başlayan Microsoft Tehdit İstihbaratından yapılan son araştırmalar, grup tarafından kullanılan yeni taktikleri ortaya koyuyor. En ilginç değişikliklerden biri, üçüncü taraf hizmet sağlayıcılarına erişmek için çalıntı API anahtarları ve kimlik bilgileri kullanarak grubun BT tedarik zincirinden ödün vermesi oldu. Bu uzlaşmalar ipek tayfuna aşağı akışlı müşteri ortamlarına bir dayanak vermiştir. Özellikle, ayrıcalıklı erişim yönetimi (PAM), bulut uygulama sağlayıcıları ve bulut veri yönetimi şirketleri gibi sektörleri hedef almıştır.
Bu API anahtarlarından eriştikten sonra, İpek Typhoon kurban cihazlarında keşif yapar ve değerli verileri hasat eder. Grup, ABD hükümet politikası, kolluk soruşturmaları ve Çin’in jeopolitik çıkarları için stratejik değere sahip yasal süreçlerle ilgili bilgilere özellikle ilgi göstermiştir. İpek Typhoon tarafından kontromise sonrası faaliyetleri sırasında kullanılan diğer yöntemler arasında yönetici hesaplarının sıfırlanması, web mermilerinin implante edilmesi, yeni kullanıcılar oluşturma ve parçalarını gizlemek için sistem günlüklerini temizleme yer alır.
Şifre Spreyi ve Kötüye Kullanım
Yazılım güvenlik açıklarından yararlanmanın yanı sıra, ipek tayfun, erişim elde etmek için zayıf şifre uygulamalarının kötüye kullanılmasında yeterlilik göstermiştir. Grup, saldırganların birçok hesapta yaygın olarak kullanılan şifreleri ve diğer şifre kötüye kullanım tekniklerini denediği şifre sprey saldırıları kullandı. İpek tayfun, GitHub gibi depolarda bulunan sızdırılmış kurumsal şifreler gibi herkese açık veriler kullanılarak keşif yapılması da gözlenmiştir.
Bu güvenlik açıklarının sömürülmesi genellikle ipek tayfun saldırı zincirinde ilk adım olarak hizmet eder ve bu da onlara kurban ortamlarına ilk erişim sağlar. İçeri girdikten sonra, uzlaşmış kimlik bilgilerini kullanarak ve hem şirket içi hem de bulut sistemlerinde verileri çalarak yanal hareket taktikleri ile devam ediyorlar. Özellikle, ipek tayfun, şirket içi Active Directory’yi Azure Active Directory (AAD) ile senkronize eden Microsoft AADConnect sunucularını hedefleyen ve ayrıcalıkları artırmalarına ve ortamlar arasında hareket etmelerini sağlayan gözlemlenmiştir.
Bulut ortamları ve veri açığa çıkması
İpek tayfun operasyonlarının önemli bir yönü bulut ortamlarına sızmayı içerir. Grup şirket içi bir ortamdan ödün verdikten sonra, hizmet ilkelerini ve OAuth uygulamalarını idari izinlerle hedefleyerek bulut ortamlarına erişimini artırırlar. Bu erişim, e -posta verilerini e -posta verilerini çalmalarını ve bazı durumlarda e -posta verilerini çalmak için Web Hizmetlerini (EWS) uzlaştırmalarını sağlar.
Bazı durumlarda, ipek tayfun, Office 365 gibi çevre içindeki meşru hizmetleri taklit etmek için tasarlanmış entra kimlik uygulamaları oluşturuldu..
Çözüm
İpek Typhoon’un cyberoam aletleri, zyxel yönlendiricileri ve QNAP cihazları gibi uzlaşmış cihazları içeren CovertNetwork gibi gizli ağlara güvenmesi, kurban ortamlarından verileri pessiltrating yaparken faaliyetlerini gizlemelerini ve düşük profili korumalarını sağlar.
Milletler ve kuruluşlar giderek daha fazla bulut teknolojilerine ve karmaşık BT altyapılarına bağlı olarak, ipek tayfun bu sistemlerden yararlanma yeteneği daha iyi siber güvenlik savunmalarına olan ihtiyacı vurgulamaktadır.