Обзор
Microsoft Threat Intelligence зафиксировала изменение тактики китайской шпионской группы Silk Typhoon. Теперь группа ориентируется на распространенные IT-решения, такие как инструменты удаленного управления и облачные приложения, чтобы получить начальный доступ к системам. Хотя они не атакуют напрямую облачные сервисы Microsoft, злоумышленники эксплуатируют уязвимые приложения для повышения уровня доступа и последующих вредоносных действий.После успешного взлома Silk Typhoon использует украденные ключи и учетные данные для проникновения в сети жертв. Там они могут злоупотреблять различными развернутыми приложениями, включая сервисы Microsoft, в целях шпионажа. В новом блоге Microsoft объясняет, как ее решения по безопасности обнаруживают эти угрозы, а также дает рекомендации по защите от атак Silk Typhoon.
Кто такие Silk Typhoon?
Silk Typhoon — китайская кибершпионская группа, обладающая значительными ресурсами и высоким техническим уровнем. Они оперативно используют уязвимости нулевого дня в периферийных устройствах и обладают одной из самых масштабных зон атаки среди китайских хакерских групп. Их стратегия включает сканирование на уязвимости и немедленный переход к эксплуатации найденных слабых мест.Silk Typhoon атакует широкий спектр отраслей и регионов, включая:
- IT-инфраструктуру и сервисы
- Компании, занимающиеся удаленным мониторингом и управлением (RMM)
- Провайдеров управляемых услуг (MSP) и их партнеров
- Государственные и муниципальные учреждения
- Энергетику, здравоохранение, правовую сферу, высшее образование, оборону, неправительственные организации (НПО)
Методы атак Silk Typhoon
Компрометация цепочки поставок
С конца 2024 года Microsoft Threat Intelligence активно отслеживает атаки Silk Typhoon, выявляя новые методы, используемые группой. В частности, злоумышленники используют украденные API-ключи и учетные данные сервисов управления привилегиями (PAM), облачных приложений и компаний, занимающихся управлением облачными данными. Это позволяет им проникать в инфраструктуру клиентов этих компаний.После кражи API-ключа Silk Typhoon:
- Получает доступ к инфраструктуре клиентов атакованной компании
- Проводит разведку и собирает данные, связанные с интересами Китая, политикой США и расследованиями правоохранительных органов
- Сбрасывает учетные записи администраторов, внедряет веб-оболочки, создает новые учетные записи и очищает логи
Подбор паролей и их компрометация
Silk Typhoon также использует атаки методом "распыления паролей" (password spraying) и другие техники подбора учетных данных. Например, они ищут утекшие корпоративные пароли в открытых репозиториях, таких как GitHub, и успешно используют их для входа в учетные записи. Это подчеркивает важность защиты паролей и использования многофакторной аутентификации (MFA).Основные техники Silk Typhoon
Начальный доступ
Silk Typhoon использует три ключевых метода проникновения:- Разработка эксплойтов для уязвимостей нулевого дня
- Эксплуатация уязвимых сервисов и программ
- Использование скомпрометированных учетных данных
В январе 2025 года Silk Typhoon воспользовались уязвимостью нулевого дня в Ivanti Pulse Connect VPN (CVE-2025-0282). Microsoft оперативно уведомила Ivanti, что помогло закрыть уязвимость и снизить риски эксплуатации.
Латеральное перемещение в облако
После компрометации Silk Typhoon перемещается из локальной инфраструктуры в облачную, используя следующие приемы:- Извлечение данных Active Directory
- Кража паролей из хранилищ
- Повышение привилегий
- Атака на серверы AADConnect (ныне Entra Connect), которые синхронизируют локальный Active Directory с Entra ID (бывший Azure AD)
Компрометация AADConnect позволяет злоумышленникам получить доступ как к локальной, так и к облачной инфраструктуре.
Злоупотребление сервисными учетными записями и приложениями
Silk Typhoon использует сервисные учетные записи и OAuth-приложения с административными правами для кражи данных из Microsoft 365 (почта, OneDrive, SharePoint) через MSGraph. Они также:- Получают доступ к существующим приложениям с уже выданными разрешениями
- Добавляют свои учетные данные к этим приложениям
- Создают поддельные приложения в Entra ID, замаскированные под легитимные
Использование скрытых сетей
Silk Typhoon применяет скрытые сети ("CovertNetwork"), состоящие из скомпрометированных или арендованных устройств, таких как:- Устройства Cyberoam
- Маршрутизаторы Zyxel
- Сетевые хранилища QNAP
Исторические атаки Silk Typhoon через уязвимости нулевого дня
Palo Alto Networks GlobalProtect Gateway
В марте 2024 года Silk Typhoon использовали уязвимость CVE-2024-3400 для выполнения кода с привилегиями root на межсетевых экранах Palo Alto Networks.Citrix NetScaler ADC и Gateway
В начале 2024 года группа атаковала Citrix NetScaler через уязвимость CVE-2023-3519, которая позволяла удаленно выполнять код без аутентификации.Microsoft Exchange
В 2021 году Microsoft обнаружила, что Silk Typhoon использует уязвимости Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) для удаленного выполнения кода и повышения привилегий.Во всех случаях Silk Typhoon активно использовали веб-оболочки для сохранения доступа к скомпрометированным системам.
Рекомендации по защите
Microsoft рекомендует следующие меры для выявления и предотвращения атак Silk Typhoon:- Анализировать логи серверов Entra Connect на предмет аномальной активности
- Проверять сервисные учетные записи на наличие новых секретов (учетных данных)
- Следить за созданием новых приложений в инфраструктуре
- Мониторить многоарендные приложения и анализировать аутентификацию в них
- Проверять активность Microsoft Graph и eDiscovery, особенно в SharePoint и почтовых сервисах
- Идентифицировать новые учетные записи в системах, подвергшихся атаке
- Анализировать логи VPN на предмет изменений конфигурации и подозрительных подключений
Эти меры помогут снизить риск атак Silk Typhoon и защитить критически важные данные.
Источник
