A Silk Typhoon az IT ellátási láncokat is támadja
A Microsoft Threat Intelligence azonosította, hogy a kínai Silk Typhoon csoport taktikát váltott. A Silk Typhoon már olyan általános IT-megoldásokat céloz meg, mint a távmenedzsment eszközök és a felhőszolgáltatások a kezdeti hozzáférést megszerzése érdekében. A kiberszereplő közvetlenül a Microsoft felhőszolgáltatásait nem vette célba, de más sérülékeny alkalmazásokat kihasználnt, amelyek lehetővé teszik számukra, hogy növeljék a jogosultságukat, és ezután további rosszindulatú tevékenységeket folytassanak. Miután a Silk Typhoon sikeresen kompromittált egy áldozatot, az ellopott kulcsokat és hitelesítő adatokat felhasználva beszivárog a kompromittált szervezet ügyfeleinek hálózatába, ahol aztán kihasznál számos telepített alkalmazást, köztük Microsoft szolgáltatásokat és más eszközöket kémkedési célokból.
A Silk Typhoon egy kémkedésre összpontosító kínai kiberszereplő, amelynek tevékenységei azt mutatják, hogy egy jól képzett és technikailag hatékony csoportról van szó, amely képes gyorsan kihasználni az edge eszközökben felfedezett zero-day sérülékenységeket. A Silk Typhoon számos ágazatot vett célba széles földrajzi régióban, többek között az IT szolgáltatókat és infrastruktúrákat, RMM (remote monitoring and management) vállalatokat, MSP-ket (managed service providers) és leányvállalatokat, egészségügyi, jogi szolgáltatásokat, felsőoktatási, védelmi, kormányzati, nem kormányzati szervezeteket (NGO-k) és energiaszolgáltatókat is.
A Microsoft Threat Intelligence 2024. vége óta alapos kutatást végzett és nyomon követte a Silk Typhoon által végrehajtott kibertevékenységeket. Az így megszerzett információk jelentősen javították a kiberszereplő műveleteinek megértését, és feltárták a szereplő által használt új TTP-ket.
A Silk Typhoon az ellopott API-kulcsokat az eredetileg kompromittált vállalat downstream ügyfeleihez való hozzáférésre használta. Az API-kulcson keresztül megszerzett hozzáférést kihasználva a Silk Typhoon felderítést és adatgyűjtést végzett az eszközökön egy admin fiókon keresztül. Az azonosított további TTP-k közé tartozik az alapértelmezett admin fiók API-kulcson keresztüli visszaállítása, web shell implantátumok, további felhasználók létrehozása és a cselekvő által végrehajtott műveletek naplóinak törlése.
A Silk Typhoon többek között password spraying támadásokkal is hozzájutott kezdeti hozzáférésekhez. Emellett felhasználta a nyilvános adattárakban, például a GitHubon elérhető kiszivárgott vállalati jelszavakat, amelyekkel sikeres hozzáfért vállalati fiókokhoz. Ez jól mutatja, hogy a fenyegető szereplő mekkora erőfeszítéseket tesz a kutatás és a felderítés során az áldozatok adatainak összegyűjtése érdekében, és rávilágít a kiberhigiénia és a többfaktoros hitelesítés (MFA) használatának fontosságára.
A Microsoft emellett megfigyelte, hogy a Silk Typhoon 2025 januárjában kihasználta az Ivanti Pulse Connect VPN zero-day sérülékenységét (CVE-2025-0282). A Microsoft Threat Intelligence Center jelentette a tevékenységet az Ivantinak, ami a kritikus sérülékenység gyors javításához vezetett.
