Scroll untuk baca artikel
Networking

Peretas topan sutra sekarang menargetkan rantai pasokannya untuk melanggar jaringan

68
×

Peretas topan sutra sekarang menargetkan rantai pasokannya untuk melanggar jaringan

Share this article
peretas-topan-sutra-sekarang-menargetkan-rantai-pasokannya-untuk-melanggar-jaringan
Peretas topan sutra sekarang menargetkan rantai pasokannya untuk melanggar jaringan

Seorang peretas dengan bendera Cina

Microsoft memperingatkan bahwa kelompok ancaman cyber-spionage Cina ‘topan sutra’ telah menggeser taktiknya, sekarang menargetkan alat manajemen jarak jauh dan layanan cloud dalam serangan rantai pasokan yang memberi mereka akses ke pelanggan hilir.

Example 300x600

Raksasa teknologi ini telah mengkonfirmasi pelanggaran di berbagai industri, termasuk pemerintah, layanan TI, perawatan kesehatan, pertahanan, pendidikan, LSM, dan energi.

“Mereka [Silk Typhoon] mengeksploitasi aplikasi yang tidak ditandingi yang memungkinkan mereka untuk meningkatkan akses mereka di organisasi yang ditargetkan dan melakukan kegiatan jahat lebih lanjut, ” Membaca laporan Microsoft.

“Setelah berhasil mengorbankan korban, Topan Sutra menggunakan kunci dan kredensial yang dicuri untuk menyusup ke jaringan pelanggan di mana mereka kemudian dapat menyalahgunakan berbagai aplikasi yang digunakan, termasuk Microsoft Services dan lainnya, untuk mencapai tujuan spionase mereka.”

Badai topan sutra itu memasok rantai

Topan sutra adalah kelompok spionase yang disponsori negara Cina yang dikenal Meretas Kantor Kontrol Aset Asing AS Kantor (OFAC) pada awal Desember 2024 dan mencuri data dari Komite Investasi Asing di Amerika Serikat (CFIUS).

Microsoft melaporkan bahwa topan sutra beralih taktik di sekitar periode itu, menyalahgunakan kunci API curian dan kredensial yang dikompromikan untuk penyedia TI, manajemen identitas, manajemen akses istimewa, dan solusi RMM, yang kemudian digunakan untuk mengakses jaringan dan data pelanggan hilir.

Microsoft mengatakan penyerang memindai repositori github dan sumber daya publik lainnya untuk menemukan kunci otentikasi atau kredensial yang bocor dan kemudian menggunakannya untuk melanggar lingkungan. Aktor ancaman juga dikenal karena menggunakan serangan semprotan kata sandi untuk mendapatkan akses ke kredensial yang valid.

Sebelumnya, para aktor ancaman terutama memanfaatkan kekurangan nol-hari dan N-hari di perangkat tepi yang menghadap publik untuk mendapatkan akses awal, cangkang web tanaman, dan kemudian bergerak secara lateral melalui VPN dan RDP yang dikompromikan.

Beralih dari pelanggaran tingkat organisasi ke peretasan tingkat MSP memungkinkan para penyerang untuk bergerak di dalam lingkungan cloud, mencuri kredensial sinkronisasi Direktori Aktif (AADConnect), dan menyalahgunakan aplikasi OAuth untuk serangan yang jauh lebih cepat.

Aktor ancaman tidak lagi mengandalkan malware dan cangkang web, dengan topan sutra sekarang mengeksploitasi aplikasi cloud untuk mencuri data dan kemudian menghapus log, hanya menyisakan jejak minimal di belakang.

Menurut pengamatan Microsoft, Topan Sutra terus mengeksploitasi kerentanan di samping taktik barunya, kadang -kadang sebagai nol hari, untuk akses awal.

Baru -baru ini, kelompok ancaman diamati mengeksploitasi cacat Eskalasi Privilege VPN Connect Connect VPN (CVE-2025-0282) sebagai zero-day untuk melanggar jaringan perusahaan.

Sebelumnya, pada tahun 2024, topan sutra mengeksploitasi CVE-2024-3400, kerentanan injeksi komando di Palo Alto Networks Global Protect, dan CVE-2023-3519, cacat eksekusi kode jarak jauh di Citrix Netscaler ADC dan Netscaler Gateway.

Microsoft mengatakan para aktor ancaman telah menciptakan “covertnetwork” yang terdiri dari peralatan cyberoam yang dikompromikan, router zyxel, dan perangkat QNAP, yang digunakan untuk meluncurkan serangan dan mengaburkan aktivitas berbahaya.

Microsoft telah mendaftarkan indikator kompromi dan aturan deteksi yang diperbarui yang mencerminkan pergeseran taktik terbaru Silk Typhoon di bagian bawah laporannya, dan para pembela disarankan untuk menambahkan informasi yang tersedia ke alat keamanan mereka untuk mendeteksi dan memblokir serangan apa pun tepat waktu.