Rabattoffert för flera licenser
Datorsäkerhet Kina-stödda hackare bakom intrång i USA:s...

Kina-stödda hackare bakom intrång i USA:s finansförvaltning riktar sig nu mot globala IT-försörjningskedjor

Med Mura år Datorsäkerhet
Översätt till:
Svenska

Ett farligt nytt kapitel har öppnats i de pågående cyberspionagekampanjerna som genomförs av Silk Typhoon, en kinesisk regeringsstödd hackergrupp som nyligen kopplats till intrång i det amerikanska finansdepartementet. Microsofts team för hotintelligens har utfärdat en skarp varning och avslöjar att Silk Typhoon nu aktivt utnyttjar den globala IT-försörjningskedjan för att infiltrera företag, utföra övervakning och stjäla känslig data.

Denna senaste aktivitet markerar en oroande förändring i Silk Typhoons taktik. Istället för att direkt attackera välförsvarade molnplattformar riktar gruppen sin uppmärksamhet mot IT-tjänsteleverantörer, fjärrövervaknings- och förvaltningsföretag och managed service providers (MSPs) – just de företag som ansvarar för att säkra och underhålla företagsnätverk över hela världen.

Hur Silk Typhoon infiltrerar genom IT-försörjningskedjan

Microsofts forskare avslöjade att Silk Typhoon använder stulna API-nycklar, äventyrade autentiseringsuppgifter och privilegierad tillgång för att i tysthet bryta mot IT-företag. Väl inne kan angriparna utöka sin räckvidd till nedströms kundmiljöer, vilket utsätter otaliga organisationer i riskzonen.

Dessa attacker är mer än bara opportunistiska . Silk Typhoon visar en hög nivå av förståelse för hybridmiljöer och navigerar skickligt både på lokal infrastruktur och molntjänster. Microsoft observerade att gruppen utnyttjade legitima verktyg som Entra Connect (tidigare AADConnect) för att eskalera privilegier och upprätthålla långtidsåtkomst.

Genom dessa ingångspunkter utför Silk Typhoon:

  • Omfattande spaning för att kartlägga interna system
  • Sidorörelse över nätverk
  • Dataexfiltrering från e-post, fildelning och molnlagring
  • Beständig åtkomst med hjälp av webbskal och OAuth-applikationer

Ingen är säker utan starka försvar

Microsoft varnar för att även organisationer som inte är direkta mål kan bli sidoskador genom sina IT-leverantörer. Om ditt företag är beroende av delade IT-tjänster, svag behörighetshantering eller föråldrad programvara kan du redan vara sårbar.

Historiskt sett har Silk Typhoon framgångsrikt brutit mot ett brett utbud av produkter, inklusive Microsoft Exchange-servrar, VPN-apparater och brandväggar. Gruppen låg bakom intrånget från det amerikanska finansdepartementet, där den spionerade på kontor som hanterade utländska investeringar och sanktioner, och utnyttjade sårbarheter i mjukvara som BeyondTrust och PostgreSQL.

Avancerad taktik som används av Silk Typhoon

Silk Typhoons senaste kampanjer lyfter fram deras växande sofistikering. Enligt Microsoft har gruppen observerats med:

  • Lösenordssprayattacker och spaning för att avslöja återanvända företagslösenord som finns i offentliga arkiv som GitHub
  • Kompromissade OAuth-applikationer med behörigheter på hög nivå för att stjäla e-post, OneDrive-filer och SharePoint-data via MSGraph
  • Multi-tenant-applikationer kompromisser, vilket gör att de kan svänga över molnmiljöer och komma åt känsliga resurser i olika organisationer
  • Exchange Web Services (EWS) API-missbruk för att exfiltrera e-postkommunikation

Det som gör dessa attacker särskilt farliga är Silk Typhoons förmåga att kapa applikationer som redan har användarens samtycke, vilket gör att deras skadliga aktivitet smälter in i normala operationer.

Det växande hotet från sidentyfonen

Microsoft beskriver Silk Typhoon som en av de mest expansiva kinesiska hotgrupperna i världen. Med starkt stöd och resurserna för att snabbt utnyttja nolldagssårbarheter, utgör de ett betydande hot över sektorer, inklusive statliga och lokala myndigheter, finansiella institutioner och IT-tjänsteleverantörer.

Hur du skyddar din organisation

Mot bakgrund av denna utveckling uppmanar Microsoft organisationer att:

  • Granska API-nycklar och OAuth-applikationer för att säkerställa ingen misstänkt eller överprivilegierad åtkomst
  • Genomför en stark legitimationshygien, inklusive regelbundna lösenordsbyten och multi-factor authentication (MFA)
  • Patcha alla system omedelbart, särskilt mjukvara som ofta riktas mot avancerade ihållande hot (APT)
  • Övervaka för ovanliga åtkomstmönster, särskilt när det gäller tjänstekonton och molnapplikationer

    • Inriktningen på IT-försörjningskedjor bevisar att cyberspionage inte längre bara är en risk för högprofilerade statliga enheter. Idag måste varje organisation som är beroende av delad infrastruktur eller tredjepartsleverantörer behandla sig själv som ett potentiellt mål.

    Cybersäkerhetsövervakning är inte längre valfritt – det är det enda försvaret mot motståndare som Silk Typhoon som alltid är ett steg bort från din mest känsliga data.

    Läser in...