يوسع إعصار الحرير المرتبط الصيني بهجمات الإنترنت إلى سلاسل التوريد للوصول الأولي
قام ممثل التهديد المبطن للصين وراء الاستغلال ليوم الصفر لعيوب الأمن في خوادم Microsoft Exchange في يناير 2021 ، حول تكتيكاته لاستهداف سلسلة التوريد لتكنولوجيا المعلومات (IT) كوسيلة للحصول على وصول أولي إلى شبكات الشركات.
هذا وفقًا لنتائج جديدة من فريق Microsoft Threat Intelligence ، الذي قال إعصار الحرير (سابقًا Hafnium) تستهدف مجموعة القرصنة الآن حلول تكنولوجيا المعلومات مثل أدوات الإدارة عن بُعد والتطبيقات السحابية للحصول على موطئ قدم.
“بعد المساومة الناجحة على الضحية ، يستخدم Silk Typhoon المفاتيح وبيانات الاعتماد المسروقة للتسلل إلى شبكات العملاء حيث يمكنهم بعد ذلك إساءة استخدام مجموعة متنوعة من التطبيقات المنشورة ، بما في ذلك Microsoft Services ، لتحقيق أهداف التجسس الخاصة بهم” ، The Tech Giant قال في تقرير نشر اليوم.
يتم تقييم المجموعة العددية على أنها “موارد جيدة وكفاءة تقنياً” ، حيث تستخدم بسرعة مآثر للثغرات في أجهزة الحواف في أجهزة الحافة للهجمات الانتهازية التي تسمح لهم بتوسيع نطاق هجماتهم على نطاق واسع وعبر مجموعة واسعة من القطاعات والمناطق.
ويشمل ذلك خدمات تكنولوجيا المعلومات (تكنولوجيا المعلومات) والبنية التحتية ، والمراقبة والإدارة عن بُعد (RMM) ، ومقدمي الخدمات المدارة (MSPS) والشركات التابعة ، والرعاية الصحية ، والخدمات القانونية ، والتعليم العالي ، والدفاع ، والحكومة ، والمنظمات غير الحكومية (NGOs) ، والطاقة ، وغيرها في الولايات المتحدة وفي جميع أنحاء العالم.
وقد لوحظ أيضًا إعصار الحرير بالاعتماد على قذائف الويب المختلفة لتحقيق تنفيذ الأوامر والمثابرة وترشيح البيانات من بيئات الضحايا. ويقال أيضًا أنه أظهر فهمًا شديدًا للبنية التحتية السحابية ، مما يسمح لها أيضًا بالتحرك بشكل جانبي وحصد البيانات ذات الاهتمام.
على الأقل منذ أواخر عام 2024 ، تم ربط المهاجمين بمجموعة جديدة من الأساليب ، ومن بينها من بين من بينهم إساءة استخدام مفاتيح API المسروقة وبيانات الاعتماد المرتبطة بإدارة الوصول إلى الامتياز (PAM) ، ومقدمي التطبيقات السحابية ، وشركات إدارة البيانات السحابية لإجراء المساواة بين سلسلة التوريد لعملاء مجرى النهر.
وقالت مايكروسوفت: “الاستفادة من الوصول الذي تم الحصول عليه عبر مفتاح API ، قام الممثل بإجراء الاستطلاع وجمع البيانات على الأجهزة المستهدفة عبر حساب المسؤول” ، مضيفة أهدافًا لهذا النشاط شملت بشكل أساسي الحكومة والحكومة المحلية ، وكذلك قطاع تكنولوجيا المعلومات.
تستلزم بعض طرق الوصول الأولية الأخرى التي تم تبنيها بواسطة Typhoon Silk Typhoon استغلالًا ليومًا صفرًا لخلة أمنية في Ivanti Pulse Connect VPN (CVE-2025-0282) واستخدام هجمات رش كلمة المرور باستخدام بيانات اعتماد المؤسسة التي ظهرت من كلمات مرور تسرب على المستضافة العام المستضيف والآخرين.
كما تم استغلاله من قبل ممثل التهديد باعتباره يوم صفر –
- CVE-2024-3400 ، عيب في حقن القيادة في جدران الحماية من شبكات بالو ألتو
- CVE-2023-3519 ، ثغرة أمنية تنفيذ رمز عن بعد غير مصادقة (RCE) التي تؤثر
- CVE-2021-26855 (ويعرف أيضًا باسم Proxylogon) ، CVE-2021-26857 ، CVE-2021-26858 ، و CVE-2021-27065 ، مجموعة من نقاط الضعف التي تؤثر على Microsoft Exchange Server
يتبع وصول مبدئي ناجحًا من قبل ممثل التهديد خطوات للانتقال بشكل جانبي من البيئات المحلية إلى البيئات السحابية ، والاستفادة من تطبيقات OAUTH مع أذونات إدارية لأداء البريد الإلكتروني ، و OneDrive ، و SHAREPOINT DATIONS Exfiltration عبر واجهة برمجة تطبيقات MSGRAPR.
في محاولة لإلغاء أنشطتهم الخبيثة ، يعتمد إعصار الحرير على “أسترال” الذي يشتمل على أجهزة Cyberoam التي تعرضها الأدوات ، وأجهزة توجيه زيكسيل ، وأجهزة QNAP ، وهي مميزة للعديد من الممثلين الصينيين الذين ترتبوا من الدولة.
وقالت مايكروسوفت: “خلال الأنشطة الحديثة والاستغلال التاريخي لهذه الأجهزة ، استخدم إعصار الحرير مجموعة متنوعة من قذائف الويب للحفاظ على الثبات والسماح للجهات الفاعلة بالوصول إلى بيئات الضحايا عن بُعد”.
إرسال التعليق