Microsoft Tehdit İstihbaratı, bir Çin Casusluk Grubu olan Silk Typhoon’un taktiklerinde önemli bir değişim belirledi ve şimdi uzaktan yönetim araçları ve ilk erişim için bulut uygulamaları gibi ortak BT çözümlerini hedefliyor.
Bu iyi kaynaklı ve teknik açıdan yetkin tehdit oyuncusu, Çin tehdit aktörleri arasında büyük bir hedefleme ayak izi gösterdi, kenar cihazlarındaki güvenlik açıklarından yararlandı ve hızla keşiften sömürüye geçti.
Çin Casusluk Grubu taktikleri BT çözümlerini hedeflemek için kaydırıyor
2024’ün sonlarından bu yana, İpek Typhoon’un, ayrıcalık erişim yönetimi (PAM), bulut uygulama sağlayıcıları ve bulut veri yönetimi şirketleriyle ilişkili çalıntı API anahtarlarını ve kimlik bilgilerini kötüye kullandığı gözlemlenmiştir.
Bu yaklaşım, tehdit oyuncusunun başlangıçta tehlikeye atılan şirketlerin aşağı akışlı müşteri ortamlarına erişmesini sağlar.
Grup ayrıca, halka açık depolarda sızdırılmış kurumsal şifreleri keşfetmek de dahil olmak üzere başarılı şifre sprey saldırıları ve diğer şifre kötüye kullanım teknikleri aracılığıyla ilk erişim elde etmiştir.
Tedarik zinciri uzlaşması ve kimlik bilgisi kötüye kullanımı
İpek Typhoon’un faaliyetleri, BT hizmetleri, uzaktan izleme ve yönetim şirketleri, yönetilen hizmet sağlayıcıları, sağlık hizmetleri, hukuk hizmetleri, yüksek öğrenim, savunma, hükümet, STK ve enerji sektörleri dahil olmak üzere çok çeşitli sektörler ve coğrafi bölgeler, öncelikle ABD’de ve küresel olarak yer almaktadır.
Tehdit oyuncusu, kurban ortamlarında başarılı yanal hareket, kalıcılık bakımı ve hızlı veri yayılımı sağlayan bulut ortam dağıtımlarını ve konfigürasyonlarını anlamada yeterlilik göstermiştir.
2020’den bu yana İpek Typhoon, komut yürütme, kalıcılık ve veri açığa çıkması için çeşitli web mermileri kullanmıştır.
Son faaliyetlerinde, ipek tayfun, başlangıçta tehlikeye atılan şirketlerin aşağı akış müşterilerine erişmek, yönetici hesapları aracılığıyla hedeflenen cihazlarda keşif ve veri toplama yapmak için çalıntı API anahtarları kullanılarak gözlenmiştir.
Grubun ayrıca varsayılan yönetici hesaplarını sıfırladığı, web kabuklarını implante ettiği, ek kullanıcılar oluşturduğu ve eylemlerinin günlüklerini temizlediği görülüyor.
Microsoft, doğrudan hedeflenen veya tehlikeye atılan müşterileri bilgilendirerek, ortamlarını güvence altına almak için önemli bilgiler sağladı.
Şirket, Entra Connect sunucuları ile ilgili günlük etkinliğini incelemek, yeni oluşturulan uygulamaları analiz etmek, çok kiracılı uygulamaları incelemek ve özellikle SharePoint veya e-posta verileri için Microsoft grafiği veya ediscovery ile ilgili gözlemlenen etkinlikleri incelemek de dahil olmak üzere çeşitli azaltma stratejileri önermektedir.
Bu tehditlere karşı savunmak için Microsoft, kuruluşlara herkese açık tüm cihazların yamalı olmasını, güçlü kontrolleri ve güvenlik kimliklerini izlemelerini ve kimlik bilgisi hijyeni oluşturarak ve en az ayrıcalık ilkesini uygulayarak kimlik bilgisi uzlaşmasını savunmasını tavsiye eder.
Ayrıca, kuruluşlar Microsoft’un Sıfır Güven ilkelerini uygulayan şartlı erişim politikaları uygulamalı ve riske dayalı kullanıcı oturum açma korumasını etkinleştirmelidir.
İpek tayfun taktiklerini geliştirmeye devam ettikçe, kuruluşlar BT tedarik zincirini hedefleyen bu sofistike tehdit aktörüne karşı korunmak için siber güvenlik önlemlerinde uyanık ve proaktif kalmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free