Microsoft, Çin siber-ihale tehdit grubu ‘İpek Typhoon’un taktiklerini değiştirdiği, şimdi aşağı akış müşterilerine erişim sağlayan tedarik zinciri saldırılarında uzaktan yönetim araçlarını ve bulut hizmetlerini hedeflediği konusunda uyarıyor.
Teknoloji devi, hükümet, BT hizmetleri, sağlık hizmetleri, savunma, eğitim, STK’lar ve enerji dahil olmak üzere birçok sektördeki ihlalleri doğruladı.
“Onlar [Silk Typhoon] Microsoft’un raporunu okur.
“Bir kurbanı başarıyla tehlikeye attıktan sonra İpek Typhoon, müşteri ağlarına sızmak için çalınan anahtarları ve kimlik bilgilerini kullanır ve daha sonra Microsoft Hizmetleri ve diğerleri de dahil olmak üzere çeşitli konuşlandırılan uygulamaları kötüye kullanabilirler.”
İpek tayfun fırtınaları
İpek Typhoon, ABD Dış Varlık Kontrol Ofisi (OFAC) ofisi (OFAC) ofisi 2024 yılının başlarında hacklemek ve ABD’deki Yabancı Yatırım Komitesi’nden (CFIU) verileri çalmakla bilinen Çin devlet destekli bir casusluk grubudur.
Microsoft, ipek typhoon’un taktikleri o dönemde değiştirdiğini, çalıntı API anahtarlarını ve BT sağlayıcıları için tehlikeye atılmış kimlik bilgilerini, kimlik yönetimi, ayrıcalıklı erişim yönetimi ve RMM çözümlerini kötüye kullandığını bildirdi.
Microsoft, saldırganların sızdırılmış kimlik doğrulama anahtarlarını veya kimlik bilgilerini bulmak için GitHub depolarını ve diğer kamu kaynaklarını taradığını ve ardından bunları ihlal etmek için kullandığını söylüyor. Tehdit aktörleri, geçerli kimlik bilgilerine erişmek için şifre sprey saldırıları kullandıkları da bilinir.
Daha önce, tehdit aktörleri öncelikle ilk erişim, bitki web mermileri elde etmek ve daha sonra uzlaşmış VPN’ler ve RDP’ler aracılığıyla yanal olarak hareket etmek için halka açık kenar cihazlarında sıfır gün ve n-gün kusurlarından yararlanıyordu.
Organizasyon düzeyinde ihlallerden MSP düzeyinde hack’lere geçiş, saldırganların bulut ortamlarında hareket etmesine, Active Directory Senkronizasyon kimlik bilgilerini (AADConnect) çalmasına ve OAuth uygulamalarının çok daha gizli bir saldırı için kötüye kullanılmasına olanak tanır.
Tehdit aktörleri artık kötü amaçlı yazılımlara ve web mermilerine güvenmiyor, ipek tayfun şimdi verileri çalmak ve daha sonra günlükleri temizlemek için bulut uygulamalarından yararlanıyor ve sadece minimum bir iz bırakıyor.
Microsoft’un gözlemlerine göre, İpek Typhoon, ilk erişim için bazen sıfır gün olarak yeni taktiklerinin yanı sıra güvenlik açıklarından yararlanmaya devam ediyor.
Son zamanlarda, tehdit grubunun, kurumsal ağları ihlal etmek için sıfır gün olarak kritik bir Ivanti Pulse Connect VPN ayrıcalık artış kusuru (CVE-2025-0282) kullandığı gözlemlendi.
Daha önce, 2024’te ipek tayfun, Palo Alto Networks GlobalProtect’te bir komut enjeksiyon kırılganlığı olan CVE-2024-3400’ü ve CVEIX Netscaler ADC ve Netscaler Gateway’de bir uzaktan kod yürütme kusuru olan CVE-2023-3519’dan yararlandı.
Microsoft, tehdit aktörlerinin, saldırıları başlatmak ve kötü niyetli faaliyetleri gizlemek için kullanılan uzlaşmış siberoam aletleri, zyxel yönlendiriciler ve QNAP cihazlarından oluşan bir “covertnetwork” oluşturduğunu söylüyor.
Microsoft, ipek typhoon’un raporunun altındaki taktiklerdeki son değişimini yansıtan güncellenmiş uzlaşma ve algılama kuralları göstergelerini listeledi ve savunuculara, herhangi bir saldırıyı zamanında tespit etmek ve engellemek için mevcut bilgileri güvenlik araçlarına eklemeleri öneriliyor.