L’attore di minaccia foderato in Cina dietro lo sfruttamento zero-day dei difetti di sicurezza nei server di Change Microsoft nel gennaio 2021 ha spostato le sue tattiche per indirizzare la catena di approvvigionamento della tecnologia dell’informazione (IT) come mezzo per ottenere l’accesso iniziale alle reti aziendali.
Questo è secondo le nuove scoperte del staff di intelligence di Microsoft minaccia, che ha affermato il Storm di seta (Precedentemente Hafnium) Hacking Group ora mira a soluzioni IT come strumenti di gestione remota e applicazioni cloud per ottenere un punto d’appoggio.
“Dopo aver compromesso con successo una vittima, Silk Storm utilizza le chiavi e le credenziali rubate per infiltrarsi nelle reti dei clienti in cui possono quindi abusare di una varietà di applicazioni distribuite, tra cui Microsoft Companies e altri, per raggiungere i loro obiettivi di spionaggio”, il gigante della tecnologia ” disse In un rapporto pubblicato oggi.
Il collettivo contraddittorio viene valutato per essere “ben risorse ed efficiente”, mettendo rapidamente per utilizzare gli exploit per le vulnerabilità a zero giorni nei dispositivi Edge per attacchi opportunistici che consentono loro di scalare i loro attacchi su scala e attraverso una vasta gamma di settori e regioni.
Ciò embrace servizi e infrastrutture IT (IT), società di monitoraggio e gestione remoto (RMM), fornitori di servizi gestiti (MSP) e affiliati, assistenza sanitaria, servizi legali, istruzione superiore, difesa, governo, organizzazioni non governative (ONG), energia e altri situati negli Stati Uniti e in tutto il mondo.
È stato anche osservato che il tifone di seta si basa su varie conchiglie di net per raggiungere l’esecuzione, la persistenza e l’esfiltrazione dei dati da ambienti vittime. Si cube anche che abbia dimostrato una profonda comprensione dell’infrastruttura cloud, consentendogli ulteriormente di muoversi lateralmente e raccogliere i dati di interesse.
Almeno dalla fantastic del 2024, gli aggressori sono stati collegati a una nuova serie di metodi, tra cui il principale riguardante l’abuso di chiavi API rubate e credenziali affiliate a Privilege Entry Administration (PAM), fornitori di app cloud e società di gestione dei dati cloud per condurre compromessi della catena di approvvigionamento dei clienti a valle.
“Sfruttando l’accesso ottenuto tramite la chiave API, l’attore ha eseguito la ricognizione e la raccolta di dati su dispositivi mirati tramite un account amministratore”, ha affermato Microsoft, aggiungendo obiettivi di questa attività comprendeva principalmente lo stato e il governo locale, nonché il settore IT.
Alcune delle altre rotte di accesso iniziale adottate da Silk Storm comportano lo sfruttamento zero-day di un difetto di sicurezza in Ivanti Pulse Join VPN (CVE-2025-0282) e l’uso di attacchi a spruzzo password utilizzando le credenziali aziendali emerse da password trapelate sui repository pubblici ospitati su GitHub e altri.
Anche sfruttato dall’attore di minaccia come zero -day sono –
- CVE-2024-3400un difetto di iniezione di comando nei firewall di Palo Alto Networks
- CVE-2023-3519Una vulnerabilità di esecuzione remota non autenticata (RCE) che colpisce il controller di consegna dell’applicazione Citrix Netscaler (ADC) e il gateway Netscaler
- CVE-2021-26855 (aka Proxylogon), CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, A insieme di vulnerabilità Impatto sul server Microsoft Change
Un accesso iniziale di successo è seguito dall’attore di minaccia che adotta le misure per spostarsi lateralmente dagli ambienti locali agli ambienti cloud e sfruttare le applicazioni OAuth con autorizzazioni amministrative per eseguire e-mail, OneDrive ed esfiltrazione di dati di SharePoint tramite l’API MSGRAPH.
Nel tentativo di offuscare l’origine delle loro attività dannose, il tifone di seta si basa su un “CovertNetwork“Comprendendo elettrodomestici cyberoam compromessi, router Zyxel e dispositivi QNAP, un segno distintivo di numerosi attori cinesi sponsorizzati dallo stato.
“Durante le recenti attività e lo sfruttamento storico di questi elettrodomestici, il tifone di seta ha utilizzato una varietà di conchiglie per mantenere la persistenza e consentire agli attori di accedere a remoto agli ambienti delle vittime”, ha affermato Microsoft.
