Mga Hacker na Sinusuportahan ng China sa Likod ng Paglabag sa Treasury ng US na Tinatarget Ngayon ang Mga Global IT Supply Chain

Sa pamamagitan ng Mura sa Seguridad ng Computer

Isalin To:

Isang mapanganib na bagong kabanata ang nagbukas sa patuloy na mga kampanyang cyber-espionage na isinagawa ng Silk Typhoon, isang grupo ng pag-hack na suportado ng gobyerno ng China kamakailan na nauugnay sa paglabag sa US Treasury Department. Naglabas ng matinding babala ang threat intelligence team ng Microsoft, na nagpapakitang aktibong sinasamantala ngayon ng Silk Typhoon ang pandaigdigang IT supply chain para makalusot sa mga negosyo, magsagawa ng surveillance, at magnakaw ng sensitibong data.

Ang pinakahuling aktibidad na ito ay nagmamarka ng tungkol sa pagbabago sa mga taktika ng Silk Typhoon. Sa halip na direktang atakehin ang mga cloud platform na may mahusay na pagtatanggol, ibinaling ng grupo ang atensyon nito sa mga IT services provider, remote monitoring at management firms, at managed service providers (MSPs)—ang mismong mga kumpanyang responsable sa pag-secure at pagpapanatili ng mga corporate network sa buong mundo.

Talaan ng mga Nilalaman

Paano Pumapasok ang Silk Typhoon sa IT Supply Chain

Natuklasan ng mga mananaliksik ng Microsoft na ang Silk Typhoon ay gumagamit ng mga ninakaw na API key, nakompromiso na mga kredensyal, at may pribilehiyong pag-access sa tahimik na paglabag sa mga kumpanya ng IT. Kapag nasa loob na, maaaring palawakin ng mga umaatake ang kanilang abot sa mga downstream na kapaligiran ng customer, na naglalagay sa panganib ng hindi mabilang na mga organisasyon.

Ang mga pag-atakeng ito ay higit pa sa oportunistiko . Ang Silk Typhoon ay nagpapakita ng mataas na antas ng pag-unawa sa mga hybrid na kapaligiran, na mahusay na nagna-navigate sa parehong nasa nasasakupan na imprastraktura at mga serbisyo sa cloud. Napagmasdan ng Microsoft ang pangkat na nagsasamantala sa mga lehitimong tool tulad ng Entra Connect (dating AADConnect) upang palakihin ang mga pribilehiyo at mapanatili ang pangmatagalang pag-access.

Sa pamamagitan ng mga entry point na ito, ang Silk Typhoon ay nagsasagawa ng:

Malawak na reconnaissance upang i-map out ang mga panloob na sistema
Lateral na paggalaw sa mga network
Exfiltration ng data mula sa mga email, pagbabahagi ng file, at cloud storage
Patuloy na pag-access gamit ang mga web shell at OAuth application

Walang Ligtas Kung Walang Malakas na Depensa

Nagbabala ang Microsoft na kahit na ang mga organisasyong hindi direktang target ay maaaring maging collateral na pinsala sa pamamagitan ng kanilang mga IT provider. Kung umaasa ang iyong negosyo sa mga nakabahaging serbisyo sa IT, mahinang pamamahala ng kredensyal, o hindi napapanahong software, maaaring mahina ka na.

Sa kasaysayan, matagumpay na nalabag ng Silk Typhoon ang isang malawak na hanay ng mga produkto, kabilang ang mga server ng Microsoft Exchange, VPN appliances, at firewall. Ang grupo ang nasa likod ng paglabag sa US Treasury Department, kung saan naniktik ito sa mga tanggapan na nangangasiwa sa mga dayuhang pamumuhunan at mga parusa, na sinasamantala ang mga kahinaan sa software tulad ng BeyondTrust at PostgreSQL.

Mga Advanced na Taktika na Ginamit ng Silk Typhoon

Itinatampok ng mga kamakailang kampanya ng Silk Typhoon ang kanilang lumalagong pagiging sopistikado. Ayon sa Microsoft, ang grupo ay naobserbahan gamit ang:

Mga pag-atake sa pag-spray ng password at pag-reconnaissance upang matuklasan ang mga ginamit muli na password ng kumpanya na makikita sa mga pampublikong repositoryo tulad ng GitHub
Nakompromiso ang mga OAuth na application na may mataas na antas ng mga pahintulot na magnakaw ng mga email, OneDrive file, at SharePoint data sa pamamagitan ng MSGraph
Nakompromiso ang multi-tenant application, na nagbibigay-daan sa kanila na mag-pivot sa mga cloud environment at mag-access ng mga sensitibong mapagkukunan sa iba't ibang organisasyon
Pang-aabuso sa Exchange Web Services (EWS) API upang i-exfiltrate ang mga komunikasyon sa email

Ang dahilan kung bakit lalo na mapanganib ang mga pag-atakeng ito ay ang kakayahan ng Silk Typhoon na i-hijack ang mga application na mayroon nang pahintulot ng user, na ginagawang ihalo ang kanilang malisyosong aktibidad sa mga normal na operasyon.

Ang Lumalagong Banta ng Silk Typhoon

Inilalarawan ng Microsoft ang Silk Typhoon bilang isa sa pinakamalawak na grupo ng pagbabanta ng Chinese sa mundo. Sa pamamagitan ng malakas na suporta at mga mapagkukunan upang samantalahin ang mga zero-day na kahinaan nang mabilis, nagdudulot sila ng malaking banta sa lahat ng sektor, kabilang ang estado at lokal na pamahalaan, institusyong pampinansyal, at mga tagapagbigay ng serbisyo sa IT.

Paano Protektahan ang Iyong Organisasyon

Kaugnay ng mga pag-unlad na ito, hinihimok ng Microsoft ang mga organisasyon na:

I-audit ang mga API key at OAuth application para matiyak na walang kahina-hinala o sobrang pribilehiyong pag-access
Ipatupad ang matibay na kalinisan ng kredensyal, kabilang ang mga regular na pagbabago ng password at multi-factor authentication (MFA)

I-patch kaagad ang lahat ng system, lalo na ang software na karaniwang tina-target ng advanced persistent threats (APTs)

Subaybayan ang mga hindi pangkaraniwang pattern ng pag-access, partikular na kinasasangkutan ng mga account ng serbisyo at mga cloud application

Ang pag-target sa mga IT supply chain ay nagpapatunay na ang cyber-espionage ay hindi na isang panganib lamang para sa mga high-profile na entity ng gobyerno. Sa ngayon, dapat ituring ng bawat organisasyon na umaasa sa nakabahaging imprastraktura o mga third-party na provider ang sarili nito bilang isang potensyal na target.

Ang pagbabantay sa cybersecurity ay hindi na opsyonal—ito ang tanging depensa laban sa mga kalaban tulad ng Silk Typhoon na palaging isang hakbang ang layo mula sa iyong pinakasensitibong data.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon