Microsoft Tehdit İstihbaratı, organizasyonel ağlara ilk erişim elde etmek için uzaktan yönetim araçları ve bulut uygulamaları da dahil olmak üzere ortak BT çözümlerini hedeflemeye başlayan Çin devlet destekli bir casusluk grubu olan Silk Typhoon tarafından taktiklerde önemli bir değişim tespit etti.
Bu iyi kaynaklı ve teknik açıdan verimli grup, Çin tehdit aktörleri arasındaki en büyük hedefleme ayak izlerinden birine sahiptir ve kenar cihazlarında keşfedilen sıfır gün güvenlik açıkları için istismarları hızlı bir şekilde operasyonel hale getirme yeteneğini gösterir.
2024’ün sonlarından bu yana, İpek Typhoon’un, ayrıcalık erişim yönetimi (PAM), bulut uygulama sağlayıcıları ve bulut veri yönetimi şirketleriyle ilişkili çalıntı API anahtarlarını ve kimlik bilgilerini kötüye kullandığı gözlemlenmiştir.
Bu teknik, tehdit oyuncusunun bir başlangıç hedefinden ödün verdikten sonra aşağı akışlı müşteri ortamlarına erişmesini sağlar.
Microsoft araştırmacıları, API anahtarlarını başarıyla çaldıktan sonra, bilgisayar korsanlarının aşağı akış müşterilerine ve kiracılara eriştiğini, keşif yaptığını, hassas verileri topladığını ve kalıcılık için implant web mermilerini aldığını belirtiyor.
Tehdit oyuncusu, bulut ortam konfigürasyonlarını anlamada yeterlilik göstererek, başarılı yanal hareket, kalıcılık kuruluşu ve veri açığa çıkmasını sağladı.
Hedefleme kapsamları, BT hizmetleri, sağlık, hukuk hizmetleri, yüksek öğrenim, savunma, devlet kurumları, sivil toplum kuruluşları ve enerji şirketlerini öncelikle Amerika Birleşik Devletleri’nde ancak dünya çapında genişleyen sektörleri etkileyen sektörleri etkilemektedir.
Ocak 2025’te ipek tayfun, Ivanti Pulse Connect VPN’de sıfır gün güvenlik açığından (CVE-2025-0282) yararlandığı gözlendi. Microsoft bu etkinliği derhal Ivanti’ye bildirdi ve kritik istismarın hızlı bir şekilde çözülmesine yol açtı.
Bu eylem, sofistike tehdit aktörlerinin güvenlik açığından yararlanabileceği pencereyi önemli ölçüde azalttı.
Tradecraft ve Tespit
Bir kurban ağına girdikten sonra, ipek typhoon, şirket içi ortamlardan bulut altyapısına yanal olarak hareket etmek için sofistike teknikler kullanır.
Genellikle Active Directory’yi döker, anahtar tonozlardan parolalar çalırlar ve ayrıcalıkları artırırlar. Grup, hem şirket içi hem de bulut ortamlarına aynı anda erişmek için Microsoft Entra Connect sunucularını (eski adıyla AADConnect) hedefledi.
Bilgisayar korsanları, Microsoft Graph API üzerinden e -posta, OneDrive ve SharePoint veri açığa çıkması için hizmet müdürlerini ve OAuth uygulamalarını yönetici izinleri olan OAuth uygulamalarını gözlemlemiştir.
Bazı durumlarda, kiracı içinde zaten rıza gösteren mevcut uygulamalara erişirler, bu uygulamalara kendi şifrelerini eklerler ve bu erişimi e -posta bilgilerini çalmak için kullanırlar.
Meşru hizmetleri veya Office 365 temalarını taklit ederek çevreye karışmak için oluşturulan uygulamaları dikkatlice adlandırırlar.
Microsoft, kuruluşların derhal herkese açık tüm cihazlara yamasını önerir, Ivanti Pulse Connect VPN’lerinin CVE-2025-0282’yi ele almak, tüm kimliklerin denetim ayrıcalık seviyelerini izlemek, olağandışı konumlardan hizmet ana işaretlerini izlemek ve multi-factor kimlik doğrulaması da dahil olmak üzere güçlü kimlik hijyeni uygulamalarını uygulamak için güncellenmesini önerir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free