A Microsoft alerta que o grupo de ciberespionagem chinês 'Silk Typhoon' alterou suas táticas, direcionando agora suas ações aos remote management tools e serviços em nuvem em ataques à cadeia de suprimentos que lhes permitem acesso a clientes downstream.
O gigante da tecnologia confirmou violações em múltiplas indústrias, incluindo governo, serviços de TI, saúde, defesa, educação, ONGs e energia.
"O Silk Typhoon explora aplicativos não atualizados que permitem elevar seu acesso nas organizações alvo e conduzir atividades maliciosas adicionais," informa o relatório da Microsoft.
Após comprometerem com sucesso uma vítima, o Silk Typhoon utiliza as chaves e credenciais roubadas para infiltrar-se nas redes dos clientes onde podem, então, abusar de uma variedade de aplicações implantadas, incluindo serviços da Microsoft e outros, para alcançar seus objetivos de espionagem.
Silk Typhoon é um grupo de espionagem patrocinado pelo estado chinês, conhecido por hackear o escritório do U.S.
Office of Foreign Assets Control (OFAC) no início de dezembro de 2024 e roubar dados do Committee on Foreign Investment in the United States (CFIUS).
A Microsoft reporta que o Silk Typhoon mudou de táticas nesse período, abusando de API keys roubadas e credenciais comprometidas de provedores de TI, identity management, privileged access management e soluções de RMM, que são então usadas para acessar as redes e os dados dos clientes downstream.
A Microsoft diz que os atacantes vasculham repositórios do GitHub e outros recursos públicos para localizar chaves de autenticação ou credenciais vazadas e, em seguida, usá-las para violar ambientes.
Os atores de ameaças também são conhecidos por usar ataques de password spray para obter acesso a credenciais válidas.
Anteriormente, os atores de ameaças priorizavam a exploração de falhas de zero-day e n-day em dispositivos de borda voltados ao público para obter acesso inicial, implantar web shells e, então, mover-se lateralmente via VPNs e RDPs comprometidos.
A mudança de violações no nível da organização para hacks no nível de MSP permite que os atacantes se movam dentro dos ambientes em nuvem, roubando credenciais de sincronização do Active Directory (AADConnect) e abusando de aplicações OAuth para um ataque muito mais furtivo.
Os atores de ameaças já não dependem de malware e web shells; o Silk Typhoon agora explora aplicativos em nuvem para roubar dados e, em seguida, limpar logs, deixando para trás apenas um traço mínimo.
Segundo observações da Microsoft, o Silk Typhoon continua a explorar vulnerabilidades junto com suas novas táticas, às vezes como zero days, para acesso inicial.
Mais recentemente, o grupo de ameaças foi observado explorando uma falha crítica de escalonamento de privilégio no Ivanti Pulse Connect VPN (
CVE-2025-0282
) como um zero-day para violar redes corporativas.
Anteriormente, em 2024, o Silk Typhoon explorou o
CVE-2024-3400
, uma vulnerabilidade de injection de comandos no Palo Alto Networks GlobalProtect, e o
CVE-2023-3519
, uma falha de execução remota de código no Citrix NetScaler ADC e NetScaler Gateway.
A Microsoft diz que os atores de ameaças criaram uma "CovertNetwork" consistindo de dispositivos Cyberoam comprometidos, roteadores Zyxel e dispositivos QNAP, que são usados para lançar ataques e obfuscate atividades maliciosas.
A Microsoft listou indicadores de comprometimento atualizados e regras de detecção que refletem a mudança mais recente nas táticas de Silk Typhoon na parte inferior do seu relatório.
Defensores são recomendados a adicionar a informação disponível a suas ferramentas de segurança para detectar e bloquear ataques de forma oportuna.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...