ABD Hazine İhlalinin Arkasındaki Çin Destekli Bilgisayar Korsanları Artık Küresel BT Tedarik Zincirlerini Hedef Alıyor

Mura'de Bilgisayar Güvenliği'de

Çevir:

Çin hükümeti destekli bir bilgisayar korsanlığı grubu olan ve yakın zamanda ABD Hazine Bakanlığı ihlaliyle ilişkilendirilen Silk Typhoon tarafından yürütülen devam eden siber casusluk kampanyalarında tehlikeli bir yeni bölüm açıldı. Microsoft'un tehdit istihbarat ekibi, Silk Typhoon'un artık işletmelere sızmak, gözetim yapmak ve hassas verileri çalmak için küresel BT tedarik zincirini aktif olarak kullandığını ortaya koyan sert bir uyarı yayınladı.

Bu son aktivite, Silk Typhoon'un taktiklerinde endişe verici bir değişime işaret ediyor. Grup, iyi savunulan bulut platformlarına doğrudan saldırmak yerine, dikkatini BT hizmet sağlayıcılarına, uzaktan izleme ve yönetim firmalarına ve yönetilen hizmet sağlayıcılarına (MSP'ler) çeviriyor; bunlar, dünya çapında kurumsal ağları güvence altına almaktan ve sürdürmekten sorumlu şirketlerdir.

İçindekiler

Silk Typhoon BT Tedarik Zincirine Nasıl Sızıyor?

Microsoft araştırmacıları, Silk Typhoon'un BT şirketlerine sessizce sızmak için çalınmış API anahtarları, tehlikeye atılmış kimlik bilgileri ve ayrıcalıklı erişim kullandığını ortaya çıkardı. Saldırganlar içeri girdikten sonra, alt akış müşteri ortamlarına erişimlerini genişletebilir ve sayısız kuruluşu riske atabilir.

Bu saldırılar sadece fırsatçı saldırılardan ibaret değil . Silk Typhoon, hem şirket içi altyapıda hem de bulut hizmetlerinde ustaca gezinerek hibrit ortamlara ilişkin üst düzey bir anlayış sergiliyor. Microsoft, grubun ayrıcalıkları artırmak ve uzun vadeli erişimi sürdürmek için Entra Connect (eski adıyla AADConnect) gibi meşru araçları kullandığını gözlemledi.

Silk Typhoon bu giriş noktaları aracılığıyla şunları gerçekleştirir:

Dahili sistemleri haritalamak için kapsamlı keşif
Ağlar arasında yanal hareket
E-postalardan, dosya paylaşımlarından ve bulut depolama alanından veri sızdırma
Web kabukları ve OAuth uygulamaları kullanılarak kalıcı erişim

Güçlü Savunmalar Olmadan Hiç Kimse Güvende Değildir

Microsoft, doğrudan hedef olmayan kuruluşların bile BT sağlayıcıları aracılığıyla ikincil hasara uğrayabileceği konusunda uyarıyor. İşletmeniz paylaşımlı BT hizmetlerine, zayıf kimlik bilgisi yönetimine veya güncel olmayan yazılımlara güveniyorsa, zaten savunmasız olabilirsiniz.

Tarihsel olarak, Silk Typhoon Microsoft Exchange sunucuları, VPN cihazları ve güvenlik duvarları dahil olmak üzere çok çeşitli ürünlere başarılı bir şekilde sızmıştır. Grup, yabancı yatırımları ve yaptırımları yöneten ofisleri gözetlediği ve BeyondTrust ve PostgreSQL gibi yazılımlardaki güvenlik açıklarından yararlandığı ABD Hazine Bakanlığı ihlalinin arkasındaydı.

Silk Typhoon Tarafından Kullanılan Gelişmiş Taktikler

Silk Typhoon'un son kampanyaları, giderek artan karmaşıklıklarını vurguluyor. Microsoft'a göre, grubun şunları kullandığı gözlemlendi:

GitHub gibi herkese açık depolarında bulunan yeniden kullanılan kurumsal parolaları ortaya çıkarmak için parola püskürtme saldırıları ve keşif
MSGraph aracılığıyla e-postaları, OneDrive dosyalarını ve SharePoint verilerini çalmak için üst düzey izinlere sahip tehlikeye atılmış OAuth uygulamaları
Çoklu kiracı uygulama ihlalleri, bulut ortamları arasında geçiş yapmalarına ve farklı kuruluşlardaki hassas kaynaklara erişmelerine olanak tanır
E-posta iletişimlerini sızdırmak için Exchange Web Hizmetleri (EWS) API'si kötüye kullanımı

Bu saldırıları özellikle tehlikeli hale getiren şey, Silk Typhoon'un kullanıcı onayına sahip uygulamaları ele geçirerek kötü amaçlı faaliyetlerinin normal operasyonlarla örtüşmesini sağlama yeteneğidir.

İpek Tayfunu'nun Artan Tehdidi

Microsoft, Silk Typhoon'u dünyadaki en yaygın Çin tehdit gruplarından biri olarak tanımlıyor. Güçlü destek ve sıfırıncı gün zafiyetlerini hızla istismar edecek kaynaklarla, eyalet ve yerel yönetimler, finans kuruluşları ve BT hizmet sağlayıcıları dahil olmak üzere sektörler genelinde önemli bir tehdit oluşturuyorlar.

Kuruluşunuzu Nasıl Koruyabilirsiniz?

Bu gelişmeler ışığında Microsoft, kuruluşlara şunları tavsiye ediyor:

Şüpheli veya aşırı ayrıcalıklı erişim olmadığından emin olmak için API anahtarlarını ve OAuth uygulamalarını denetleyin
Düzenli parola değişiklikleri ve çok faktörlü kimlik doğrulama (MFA) dahil olmak üzere güçlü kimlik bilgisi hijyenini uygulayın

Özellikle gelişmiş kalıcı tehditler (APT'ler) tarafından sıklıkla hedef alınan yazılımlar olmak üzere tüm sistemleri derhal yamalayın

Özellikle hizmet hesapları ve bulut uygulamalarıyla ilgili olağandışı erişim modellerini izleyin

BT tedarik zincirlerinin hedef alınması, siber casusluğun artık yalnızca yüksek profilli hükümet kuruluşları için bir risk olmadığını kanıtlıyor. Bugün, paylaşımlı altyapıya veya üçüncü taraf sağlayıcılara bağımlı olan her kuruluş, kendisini potansiyel bir hedef olarak görmelidir.

Siber güvenlik konusunda dikkatli olmak artık isteğe bağlı değil; en hassas verilerinizden her zaman bir adım uzakta olan Silk Typhoon gibi saldırganlara karşı tek savunmanız.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir