Cybersecurity-onderzoekers vestigen de aandacht op kwaadaardige activiteiten georkestreerd door een cyberspionagegroep van China-Nexus, bekend als bekend als Duistere panda Dat omvat het misbruiken van vertrouwde relaties in de cloud om bedrijfsnetwerken te doorbreken.
“De tegenstander heeft ook een aanzienlijk vermogen aangetoond om snel Nul- en Zero-day kwetsbaarheden te bewapenen en bereikt vaak de initiële toegang tot hun doelen door op internet gerichte apparaten te exploiteren,” zei Crowdstrike in een donderdagrapport.
Truty Panda, ook bekend als Silk Typhoon (voorheen Hafnium), is vooral bekend om zijn zero-day exploitatie van Microsoft Exchange Server-fouten in 2021. Aanvallen die door de hackgroep zijn gemonteerd, hebben gericht op overheids-, technologische, academische, juridische en professionele diensteninstellingen in Noord-Amerika.
Eerder deze maart beschreef Microsoft de verschuiving van de dreigingsacteur in tactieken, met details over de targeting van de informatietechnologie (IT) supply chain als een middel om initiële toegang tot bedrijfsnetwerken te verkrijgen. Er wordt beoordeeld dat de activiteiten van duistere Panda worden aangedreven door het verzamelen van inlichtingen.
Net als andere Chinese hackgroepen, heeft troebelte panda geëxploiteerde op internet gerichte apparaten om initiële toegang te verkrijgen en wordt aangenomen dat ze ook een klein kantoor/thuiskantoor (SOHO) -apparaten hebben gecompromitteerd die geoloceerd zijn in het gerichte land als een exit-knooppunt om de inspanningen van de detectie te belemmeren.
Andere infectieroutes omvatten exploitatie van bekende beveiligingsfouten in Citrix NetScaler ADC en NetScaler Gateway (CVE-2023-3519) en Commvault (CVE-2025-3928). De eerste toegang wordt gebruikt om webschalen zoals Neo-regeorg te implementeren om persistentie vast te stellen en uiteindelijk een aangepaste malware te laten vallen genaamd CloudedHope.
Een 64-bit elf binair en geschreven in Golang, Cloudedhope functioneert als een basistool voor externe toegang tot Access (RAT), terwijl het gebruik van anti-analyse en operationele beveiligingsmaatregelen (OPSEC) (OPSEC), zoals het wijzigen van tijdstempels en het verwijderen van indicatoren van hun aanwezigheid in slachtofferomgevingen om onder de radar te vliegen.
Maar een opmerkelijk aspect van het handelen van de Turkky Panda betreft het misbruik van vertrouwde relaties tussen partnerorganisaties en hun cloud-huurders, waardoor de kwetsbaarheden van nul zijn om software-as-a-service (SaaS) -aanbieders van de cloudomgevingen (SaaS) te overtreden en laterale beweging te voeren naar downstream-slachtoffers.
In ten minste één geval dat eind 2024 werd waargenomen, zou de dreigingsacteur een leverancier van een Noord -Amerikaanse entiteit hebben aangetast en de administratieve toegang van de leverancier tot de Entra ID -huurder van de slachtoffer -entiteit heeft gebruikt om een tijdelijke achterdeur Entra ID -account toe te voegen.
“Met behulp van dit account heeft de dreigingsacteur vervolgens verschillende reeds bestaande Entra ID -serviceprincipes gerelateerd met betrekking tot Active Directory Management en e -mails,” zei Crowdstrike. “De doelen van de tegenstander lijken in de natuur gericht te zijn op basis van hun focus op toegang tot e -mails.”
Van troebel tot Genesis
Een andere China-gekoppelde dreigingsacteur die bekwaam is gebleken in het manipuleren van cloudservices is Genesis Pandadie is waargenomen met behulp van de infrastructuur voor basis exfiltratie en het richten van Cloud Service Provider (CSP) -accounts om de toegang uit te breiden en fallback persistente mechanismen op te zetten.
Genesis Panda is actief al sinds ten minste januari 2024 en is toegeschreven aan hoogvolume-activiteiten gericht op de financiële diensten, media, telecommunicatie en technologische sectoren die 11 landen omvatten. Het doel van de aanvallen is het mogelijk maken van toegang voor toekomstige activiteiten van inlichtingenverzameling.
De mogelijkheid dat het fungeert als een initiële toegangsmakelaar komt voort uit de exploitatie van de groep van een breed scala aan webgerichte kwetsbaarheden en beperkte gegevensexfiltratie.
“Hoewel Genesis Panda zich richt op een verscheidenheid aan systemen, vertonen ze consistente interesse in het in gevaar brengen van cloud-gehost systemen om het wolkenbesturingsvlak te benutten voor laterale beweging, persistentie en opsomming,” zei Crowdstrike.
De tegenstander heeft “consequent” waargenomen om de instantie metadata-service (IMDS) te vragen die is gekoppeld aan een cloud-gehoste server om inloggegevens te verkrijgen voor het cloudbesturingsvlak en de configuraties van het netwerk en algemene exemplaarconfiguraties op te sommen. Het is ook bekend dat het inloggegevens, waarschijnlijk verkregen uit gecompromitteerde virtuele machines (VM’s), gebruikt om dieper in het cloudaccount van het doelwit te graven.
De bevindingen illustreren hoe Chinese hackgroepen steeds bedrevener worden in het breken en navigeren van cloudomgevingen, terwijl ze ook prioriteit geven aan stealth en persistentie om aanhoudende toegang en verborgen gegevens te waarborgen.
Glacial Panda slaat de telecomsector
De telecommunicatiesector, per crowdstrike, is het afgelopen jaar getuige geweest van een toename van de activiteit van de natiestaten met 130% in de natiestaat, voornamelijk gedreven door het feit dat ze een schat aan intelligentie zijn. De nieuwste dreigingsacteur die zijn bezienswaardigheden op de verticale industrie traint, is een Chinese dreigingsacteur nagesynchroniseerd Glaciale panda.
De geografische voetafdruk van de hackgroep omvat Afghanistan, Hong Kong, India, Japan, Kenia, Maleisië, Mexico, Panama, de Filippijnen, Taiwan, Thailand en de Verenigde Staten.
“Glacial Panda voert zeer waarschijnlijk gerichte intrusies uit voor het verzamelen van inlichtingen, toegang tot en exfiltrerende oproepdetailrecords en gerelateerde communicatietelemetrie van meerdere telecommunicatieorganisaties,” zei het cybersecuritybedrijf.
“De tegenstander is voornamelijk gericht op Linux -systemen die typerend zijn in de telecommunicatie -industrie, inclusief verdelingen van legacy -besturingssystemen die oudere telecommunicatietechnologieën ondersteunen.”
Aanvalsketens geïmplementeerd door de dreigingsacteur maken gebruik van bekende beveiligingskwetsbaarheden of zwakke wachtwoorden gericht op internetgerichte en onbeheerde servers, met vervolgactiviteiten die gebruik maken van escalatie-bugs voor privileges zoals CVE-2016-5195 (aka Dirty Cow) en CVE-2011-4034 (AKA PWNKIT).
Naast het vertrouwen op Living-off-the-Land (LOTL) -technieken, maken de intrusies van Glacial Panda de weg vrij voor de inzet van Trojanized OpenSSH-componenten, gezamenlijk codenaam Shieldslide, om gebruikersauthenticatiesessies en -referenties te verzamelen.
“De Shieldslide-Trojanised SSH Server Binary biedt ook toegang tot achterdeur, het verifiëren van een account (inclusief root) wanneer een hardcode wachtwoord wordt ingevoerd,” zei Crowdstrike.
