De door China omzoomde dreigingsacteur achter de zero-day exploitatie van beveiligingsfouten in Microsoft Exchange-servers in januari 2021 heeft zijn tactiek verschoven om zich te richten op de informatietechnologie (IT) supply chain als een middel om initiële toegang tot bedrijfsnetwerken te verkrijgen.
Dat is volgens nieuwe bevindingen van het Microsoft Threat Intelligence Team, dat zei Zijden tyfoon (Vroeger Hafnium) Hacking Group richt zich nu op IT -oplossingen zoals externe managementtools en cloudtoepassingen om een voet aan de grond te krijgen.
“Nadat hij met succes een slachtoffer heeft gecompromitteerd, gebruikt Silk Typhoon de gestolen sleutels en referenties om klantnetwerken te infiltreren waar ze vervolgens een verscheidenheid aan geïmplementeerde applicaties kunnen misbruiken, waaronder Microsoft Services en anderen, om hun spionagedoelstellingen te bereiken,” zei de tech -gigant in een rapport dat vandaag is gepubliceerd.
Het tegenstanders wordt beoordeeld als “goed ingericht en technisch efficiënt”, snel te gebruiken exploits voor zero-day kwetsbaarheden in edge-apparaten voor opportunistische aanvallen waarmee ze hun aanvallen op schaal en over een breed scala van sectoren en regio’s kunnen schalen.
Dit omvat informatietechnologie (IT) Services en Infrastructure, Remote Monitoring and Management (RMM) bedrijven, managed Service Providers (MSP’s) en affiliates, gezondheidszorg, juridische diensten, hoger onderwijs, defensie, overheid, niet-gouvernementele organisaties (NGO’s), energie en anderen in de Verenigde Staten en over de hele wereld.
Zijdertyfoon is ook waargenomen die op verschillende webschalen vertrouwen om commando -uitvoering, persistentie en gegevensuitvoering uit slachtofferomgevingen te bereiken. Er wordt ook gezegd dat het een goed begrip van cloudinfrastructuur heeft aangetoond, waardoor het verder kan bewegen en gegevens van interesse kan verhogen.
Sinds eind 2024 zijn de aanvallers in ieder geval gekoppeld aan een nieuwe reeks methoden, waaronder het misbruik van gestolen API -toetsen en referenties die verband houden met Privilege Access Management (PAM), cloud -app -providers en cloudgegevensbeheerbedrijven om supply chain -compromissen van downstream -klanten uit te voeren.
“Levering -toegang verkregen via de API -sleutel, de acteur heeft verkenning en gegevensverzameling uitgevoerd op gerichte apparaten via een beheerdersaccount,” zei Microsoft, die doelen van deze activiteit toevoegt, voornamelijk de staat en de lokale overheid, evenals de IT -sector.
Sommige van de andere eerste toegangsroutes die door Silk Typhoon zijn aangenomen, brengen de zero-day exploitatie van een beveiligingsfout in Ivanti Pulse Connect VPN (CVE-2025-0282) en het gebruik van wachtwoordsprayaanvallen met behulp van bedrijfsreferenties die zijn opgedoken uit gelekte wachtwoorden op openbare repositories op GitHub en anderen.
Ook geëxploiteerd door de dreigingsacteur als een zero -day zijn –
- CVE-2024-3400, een opdrachtinjectiefout in Palo Alto Networks Firewalls
- CVE-2023-3519, een niet-geauthenticeerde externe code-uitvoering (RCE) kwetsbaarheid die van invloed is op Citrix NetScaler Application Delivery Controller (ADC) en NetScaler Gateway
- CVE-2021-26855 (AKA ProxyLogon), CVE-2021-26857, CVE-2021-26858 en CVE-201021-27065, een reeks kwetsbaarheden die van invloed zijn op Microsoft Exchange Server Server Server Server
Een succesvolle initiële toegang wordt gevolgd door de dreigingsacteur die stappen onderneemt om lateraal te verhuizen van on-premises omgevingen naar cloud-omgevingen en gebruik te maken van OAuth-applicaties met administratieve machtigingen om e-mail, OneDrive en SharePoint-gegevens te exfiltratie via de MSGRAPH API.
In een poging om de oorsprong van hun kwaadaardige activiteiten te verdoezelen, vertrouwt zijden tyfoon op een “geheime werkwerk” bestaande uit gecompromitteerde cyberoam-apparaten, zyxel-routers en QNAP-apparaten, een kenmerk van verschillende Chinese door de staat gesponsorde acteurs.
“Tijdens recente activiteiten en historische exploitatie van deze apparaten gebruikte Silk Typhoon een verscheidenheid aan webschalen om persistentie te behouden en om de acteurs op afstand toegang te krijgen tot slachtofferomgevingen,” zei Microsoft.
