Bulanık Panda (İpek Typhoon) olarak bilinen Çin devlet destekli bir hack grubu, aşağı akış müşterilerinin ağlarına ve verilerine ilk erişim elde etmek için bulut ortamlarında güvenilir ilişkilerden yararlanır.
İpek Typhoon (Microsoft) ve Hafnium olarak da bilinen Murky Panda, Kuzey Amerika’daki hükümet, teknoloji, akademik, yasal ve profesyonel hizmetler kuruluşlarını hedeflemekle bilinir.
Hacking grubu, sayısız adı altında, 2021’de Proxylogon kırılganlığını kullanan Microsoft Exchange ihlalleri dalgası da dahil olmak üzere çok sayıda siber sorumluluk kampanyasıyla bağlantılıdır. Daha yakın tarihli saldırılar, ABD Hazinesi Dış Varlıklar Kontrolü (OFAC) ve Yabancı Yatırım Komitesi’ndeki saldırıları içerir.
Mart ayında Microsoft, İpek Typhoon’un aşağı yönlü müşterilerin ağlarına erişmek için tedarik zinciri saldırılarında uzaktan yönetim araçlarını ve bulut hizmetlerini hedeflemeye başladığını bildirdi.
Güvenilir bulut ilişkilerinden yararlanmak
Murky Panda, Citrix Netscaler cihazlarındaki CVE-2023-3519 kusuru, Microsoft Exchange’deki proxylojin ve CVE-2025-0282 gibi Ivanti Pulse Connect VPN’de internete maruz kalan cihaz ve hizmetlerden yararlanarak kurumsal ağlara ilk erişim kazanır.
Bununla birlikte, CrowdStrike’ın yeni bir raporu, tehdit aktörlerinin bulut hizmet sağlayıcılarını bu şirketlerin müşterileriyle olan güveni kötüye kullanmak için nasıl tehlikeye attıklarını da gösteriyor.
Bulut sağlayıcılarına bazen müşteri ortamlarına yerleşik idari erişim verildiğinden, onları tehlikeye atan saldırganlar bu güveni doğrudan aşağı akış ağlarına ve verilerine yönelmek için kötüye kullanabilirler.
Bir durumda, bilgisayar korsanları bir SaaS sağlayıcısının bulut ortamına girmek için sıfır gün güvenlik açıklarından yararlandı. Daha sonra, sağlayıcının Entra ID’deki başvuru kaydı sırrına erişim elde ettiler, bu da bir hizmet olarak kimlik doğrulaması yapmalarına ve aşağı akış müşteri ortamlarına giriş yapmalarına izin verdiler. Bu erişimi kullanarak müşterilerin e -postalarını okuyabildiler ve hassas verileri çalabildiler.
Başka bir saldırıda, Murky Panda, delege idari ayrıcalıkları (DAP) ile bir Microsoft bulut çözüm sağlayıcısından ödün verdi. Saldırganlar, Yönetici Temsilcisi Grubu’ndaki bir hesaptan ödün vererek tüm aşağı akım kiracılarında küresel yönetici hakları kazandı. Daha sonra müşteri ortamlarında ve artan ayrıcalıklarda arka kapı hesapları oluşturdular, kalıcılığı ve e -posta ve uygulama verilerine erişme yeteneği sağladı.
Crowdstrike, güvenilir ilişkiler yoluyla ihlallerin nadir olduğunu vurgular, bunlar kimlik bilgisi hırsızlığı gibi daha yaygın vektörlerden daha az izlenir. Bu güven modellerinden yararlanarak, Murky Panda, uzun süre gizli erişimi sürdürmek için meşru trafik ve aktiviteyle daha kolay karışabilir.
Bulut odaklı müdahalelerine ek olarak, Murky Panda, erişim ve algılamadan kaçınmak için çeşitli araçlar ve özel kötü amaçlı yazılımlar kullanır.
Saldırganlar genellikle neo-regeorg açık kaynaklı web kabuğunu ve her ikisi de Çin casusluk aktörleriyle yaygın olarak ilişkili olan Çin helikopter web kabuklarını, uzlaşmış sunucularda kalıcılık oluşturmak için kullanıyor.
Grup ayrıca, bulutlu cihazların kontrolünü ele geçirmelerine ve ağa daha fazla yayılmalarına olanak tanıyan CloudedHope adlı özel bir Linux tabanlı uzaktan erişim Trojan’a (sıçan) erişebilir.
Murky Panda ayrıca, zaman damgalarını değiştirme ve forensik analizi engellemek için günlüklerin silinmesi de dahil olmak üzere güçlü operasyonel güvenlik (OPSEC) gösterir.
Grubun ayrıca tehlikeye atılmış küçük ofis ve ev ofis (SOHO) cihazlarını proxy sunucuları olarak kullandığı ve hedeflenen bir ülkenin altyapısında sanki saldırı yapmalarına izin verdiği bilinmektedir. Bu, kötü niyetli trafiklerinin normal trafikle karışmasını ve tespitten kaçınmasını sağlar.
Önemli casusluk tehdidi
Crowdstrike, bulanık Panda/İpek Typhoon’un ileri becerilere ve hem sıfır gün hem de N-Day güvenlik açıklarını hızla silahlandırma yeteneği ile sofistike bir düşman olduğu konusunda uyarıyor.
Güvenilir bulut ilişkilerini kötüye kullanmaları, SaaS ve bulut sağlayıcılarını kullanan kuruluşlar için önemli bir risk oluşturmaktadır.
Murky Panda saldırılarına karşı savunmak için CrowdStrike, kuruluşların olağandışı Entra ID hizmeti ana imzalarını izlemelerini, bulut sağlayıcı hesapları için çok faktörlü kimlik doğrulamasını, entra kimlik günlüklerini izlemesini ve yama buluta bakan altyapıyı derhal uygulamasını önerir.
Crowdstrike, “Murky Panda, Kuzey Amerika’daki hükümet, teknoloji, yasal ve profesyonel hizmetler varlıkları ve hassas bilgilere erişimi olan tedarikçileri için önemli bir tehdit oluşturuyor.”
“Bulut ortamlarına büyük ölçüde dayanan kuruluşlar, buluttaki güvenilir ilişkiler uzlaşmalarına karşı doğuştan savunmasızdır. Bulanık Panda gibi Çin-nexus rakipleri, küresel olarak sayısız sektörü hedefleyen casusluk operasyonlarını kolaylaştırmak için sofistike tradecraft’tan yararlanmaya devam ediyor.”
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.