Hackers Apoiados pela China por Trás da Violação do Tesouro dos EUA Agora Visam as Cadeias Globais de Suprimentos de TI

Traduzir Para:

Um novo capítulo perigoso foi aberto nas campanhas de ciberespionagem em andamento realizadas pelo Silk Typhoon, um grupo de hackers apoiado pelo governo chinês recentemente vinculado à violação do Departamento do Tesouro dos EUA. A equipe de inteligência de ameaças da Microsoft emitiu um aviso severo, revelando que o Silk Typhoon agora está explorando ativamente a cadeia de suprimentos global de TI para se infiltrar em empresas, conduzir vigilância e roubar dados confidenciais.

Esta última atividade marca uma mudança preocupante nas táticas do Silk Typhoon. Em vez de atacar diretamente plataformas de nuvem bem defendidas, o grupo está voltando sua atenção para provedores de serviços de TI, empresas de monitoramento e gerenciamento remoto e provedores de serviços gerenciados (MSPs) — as próprias empresas responsáveis por proteger e manter redes corporativas em todo o mundo.

Índice

Como o Silk Typhoon Se Infiltra na Cadeia de Suprimentos de TI

Pesquisadores da Microsoft descobriram que o Silk Typhoon está usando chaves de API roubadas, credenciais comprometidas e acesso privilegiado para violar silenciosamente empresas de TI. Uma vez lá dentro, os invasores podem estender seu alcance para ambientes de clientes downstream, colocando inúmeras organizações em risco.

Esses ataques são mais do que apenas oportunistas. O Silk Typhoon demonstra um alto nível de compreensão de ambientes híbridos, navegando habilmente tanto na infraestrutura local quanto nos serviços de nuvem. A Microsoft observou o grupo explorando ferramentas legítimas como o Entra Connect (anteriormente AADConnect) para escalar privilégios e manter acesso de longo prazo.

Por meio desses pontos de entrada, o Silk Typhoon realiza:

Amplo reconhecimento para mapear sistemas internos
Movimento lateral através de redes
Exfiltração de dados de e-mails, compartilhamentos de arquivos e armazenamento em nuvem
Acesso persistente usando shells da web e aplicativos OAuth

Ninguém está Seguro sem Defesas Fortes

A Microsoft alerta que mesmo organizações que não são alvos diretos podem se tornar danos colaterais por meio de seus provedores de TI. Se sua empresa depende de serviços de TI compartilhados, gerenciamento de credenciais fraco ou software desatualizado, você já pode estar vulnerável.

Historicamente, o Silk Typhoon violou com sucesso uma ampla gama de produtos, incluindo servidores Microsoft Exchange, dispositivos VPN e firewalls. O grupo estava por trás da violação do Departamento do Tesouro dos EUA, onde espionou escritórios que lidavam com investimentos estrangeiros e sanções, explorando vulnerabilidades em softwares como BeyondTrust e PostgreSQL.

As Táticas Avançadas Usadas pelo Silk Typhoon

As campanhas recentes do Silk Typhoon destacam sua crescente sofisticação. De acordo com a Microsoft, o grupo foi observado usando:

Ataques de pulverização de senhas e reconhecimento para descobrir senhas corporativas reutilizadas encontradas em repositórios públicos como o GitHub
Aplicativos OAuth comprometidos com permissões de alto nível para roubar e-mails, arquivos do OneDrive e dados do SharePoint via MSGraph
Comprometimentos de aplicativos multilocatários, permitindo que eles girem entre ambientes de nuvem e acessem recursos confidenciais em diferentes organizações
Abuso da API do Exchange Web Services (EWS) para exfiltrar comunicações de e-mail

O que torna esses ataques especialmente perigosos é a capacidade do Silk Typhoon de sequestrar aplicativos que já têm o consentimento do usuário, fazendo com que suas atividades maliciosas se misturem às operações normais.

A Crescente Ameaça do Silk Typhoon

A Microsoft descreve o Silk Typhoon como um dos grupos de ameaças chineses mais expansivos do mundo. Com forte apoio e recursos para explorar vulnerabilidades de dia zero rapidamente, eles representam uma ameaça significativa em todos os setores, incluindo governos estaduais e locais, instituições financeiras e provedores de serviços de TI.

Como Proteger a Sua Organização

À luz desses desenvolvimentos, a Microsoft recomenda que as organizações:

Audite chaves de API e aplicativos OAuth para garantir que não haja acesso suspeito ou com privilégios excessivos
Aplique uma higiene rigorosa de credenciais, incluindo alterações regulares de senha e autenticação multifator (MFA)
Corrija todos os sistemas imediatamente, especialmente softwares comumente alvos de ameaças persistentes avançadas (APTs)

Monitore padrões de acesso incomuns, principalmente envolvendo contas de serviço e aplicativos em nuvem

O direcionamento de cadeias de suprimentos de TI prova que a espionagem cibernética não é mais apenas um risco para entidades governamentais de alto perfil. Hoje, toda organização que depende de infraestrutura compartilhada ou provedores terceirizados deve se tratar como um alvo potencial.

A vigilância da segurança cibernética não é mais opcional: é a única defesa contra adversários como o Silk Typhoon, que estão sempre a um passo dos seus dados mais confidenciais.

O Pedido de Falência da Processadora de Pagamentos Digitais River GmbH do EnigmaSoft não Afeta a Proteção Anti-Malware dos Clientes do SpyHunter

Buscar

Mudar de região