Kínai Népköztársaság (KNK) leányvállalata az IT ellátási láncokat veszi célba

A Microsoft Threat Intelligence taktikai változást azonosított a Silk Typhoon nevű kínai kémcsoportnál, amely most olyan elterjedt IT-megoldásokat használ ki, mint a távfelügyeleti eszközök és a felhőalkalmazások a kezdeti hozzáféréshez. Bár nem célozták meg közvetlenül a Microsoft felhőszolgáltatásait, a javítatlan sebezhetőségeket kihasználva fokozzák a hozzáférést és rosszindulatú tevékenységeket hajtanak végre. Miután bejutottak, ellopott hitelesítő adatokat használnak a hálózatokba való beszivárgásra, különféle alkalmazásokkal, köztük a Microsoft szolgáltatásaival visszaélve kémkedési céljaik elérése érdekében.

Fejlett kihasználási taktikák

A Silk Typhoon, egy jól erőforrásokkal rendelkező és technikailag jártas, kínai állam által támogatott szereplő, gyorsan működőképessé teszi a nulladik napi kihasználásokat a peremhálózati eszközökön. Kiterjedt célzási lábnyomuk az opportunista sebezhetőségi szkennelésből fakad, lehetővé téve a nyilvános gyengeségek gyors kihasználását. Széles körű ágazatokra összpontosítanak, beleértve az IT-szolgáltatásokat, az MSP-ket, az egészségügyet, a jogot, az oktatást, a védelmet, a kormányzatot, a nem kormányzati szervezeteket és az energiaszektort, az Egyesült Államokban és világszerte szervezeteket célozva meg.

A felhőalapú környezetekben szerzett szakértelmük lehetővé teszi számukra a laterális mozgást, az adatok megőrzését és a hatékony adatkivonást. A követés 2020-as kezdete óta a Silk Typhoon több web shell-t telepített parancsok végrehajtására, hozzáférés fenntartására és érzékeny adatok kinyerésére.

Legutóbbi tevékenységek

Ellátási lánc kompromittálódása

2024 vége óta a Silk Typhoon felhőszolgáltatóktól, privilégium hozzáférés-kezelési (PAM) megoldásoktól és adatkezelő cégektől ellopott API-kulcsokkal és privilégium jogosultságokkal visszaélve fér hozzá az ügyfélkörnyezetekhez. A megfigyelt taktikák a következők:

Lopott API-kulcsok használata a feltört cégek ügyfeleinek beszivárgására.
Felderítés az Egyesült Államok kormányzati irányelveiben, jogi dokumentumaiban és bűnüldözési adataiban.
Alapértelmezett rendszergazdai fiókok visszaállítása, web shell-ek beültetése, további felhasználók létrehozása és naplók törlése az észlelés elkerülése érdekében.

Az elsődleges áldozatok közé tartoznak az állami és helyi önkormányzatok, valamint az IT-szektor.

Jelszó támadások és hitelesítő adatokkal való visszaélés

A Silk Typhoon jelszó spray támadások, felderítés és nyilvános adattárakból (pl. GitHub) kiszivárogtatott vállalati hitelesítő adatok révén jutott hozzá a rendszerhez. Sikere rávilágít az erős jelszóhigiénia és a többtényezős hitelesítés (MFA) fontosságára.

A Silk Typhoon technikái
Kezdeti hozzáférés és kihasználás

A csoport a következő módokon jut be:

Nulladik napi kihasználások vagy sebezhető harmadik féltől származó szolgáltatások (IT-szolgáltatók, identitáskezelés, PAM és RMM megoldások).
Jogosulatlan hozzáféréshez szükséges hitelesítő adatok feltörése.

2025 januárjában a Silk Typhoon kihasználta a CVE-2025-0282 sérülékenységet, amely egy nulladik napi sérülékenység az Ivanti Pulse Connect VPN-ben, aminek következtében a Microsoft jelentette és orvosolta a sebezhetőséget.

Oldalirányú mozgás és felhőalapú kihasználás

A bejutás után a Silk Typhoon oldalirányban mozog:

Active Directory kiírása és jelszavak kinyerése a kulcstárolókból.
Az AADConnect (ma már Entra Connect) célba vétele a jogosultságok hibrid környezetekben történő kiterjesztéséhez.

Szolgáltatásnév és OAuth visszaélés

A csoport szolgáltatásnév és OAuth alkalmazásokat használ ki e-mailek, OneDrive és SharePoint adatok kinyerésére a Microsoft Graph API-n keresztül. A következőket teszik:

Eltérítik az előre jóváhagyott alkalmazásokat a bérlőn belül, és hozzáadják saját hitelesítő adataikat.
Feltörik a több-bérlős alkalmazásokat, hogy bérlők között mozogjanak, és adatokat lopjanak.
Kihasználják az Exchange Web Services (EWS) szolgáltatásait e-mail-hozzáféréshez.
Hamis Entra ID alkalmazásokat hoznak létre, amelyek legitim szolgáltatásokat utánoznak, hogy beolvadjanak.

Rejtett hálózatok használata

A Silk Typhoon feltört Cyberoam készülékeket, Zyxel routereket és QNAP eszközöket használ titkos kilépési pontok létrehozására, elfedve azok tevékenységét.

Korábbi kihasználások

A Silk Typhoon következetesen kihasználta a nulladik napi sebezhetőségeket a Microsoft Exchange, a Palo Alto tűzfalak, a Citrix NetScaler és az Ivanti készülékekben. A figyelemre méltó esetek közé tartoznak:

CVE-2024-3400 (Palo Alto GlobalProtect) – Távoli kódfuttatás (RCE) tűzfalakon.
CVE-2023-3519 (Citrix NetScaler) – Nem hitelesített RCE sebezhetőség.

Microsoft Exchange szerverek:

2021 januárjában a Microsoft elkezdte megfigyelni, hogy a Silk Typhoon nulladik napi sebezhetőségeket talál a Microsoft Exchange szervereken. A felfedezést követően a Microsoft megoldotta ezeket a problémákat, és biztonsági frissítéseket, valamint kapcsolódó útmutatókat adott ki (a kapcsolódó linkek alább):

CVE-2021-26855 – Kiszolgálóoldali kéréshamisítási (SSRF) sebezhetőség az Exchange-ben, amely lehetővé teszi a támadó számára, hogy tetszőleges HTTP-kéréseket küldjön, és Exchange szerverként hitelesítse magát.

CVE-2021-26857 – Nem biztonságos deszerializációs sebezhetőség az Unified Messaging szolgáltatásban. A nem biztonságos deszerializáció során egy program deszerializálja a nem megbízható, felhasználó által vezérelhető adatokat. A sebezhetőség kihasználása lehetővé tette a Silk Typhoon számára, hogy RENDSZERként futtasson kódot az Exchange szerveren. Ehhez rendszergazdai engedély szükséges, vagy egy másik sebezhetőség kihasználásához. CVE-2021-26858 – Hitelesítés utáni tetszőleges fájlírási sebezhetőség az Exchange működése. Ha a Silk Typhoon hitelesíteni tudott az Exchange szerverrel, akkor ezt a sebezhetőséget kihasználva fájlt írhatott a szerver bármely elérési útjára. Hitelesítést végezhetett a CVE-2021-26855 SSRF sebezhetőség kihasználásával, vagy egy jogos rendszergazdai hitelesítő adatok feltörésével.

CVE-2021-27065 – Hitelesítés utáni tetszőleges fájlírási sebezhetőség az Exchange-ben. Ha a Silk Typhoon hitelesíteni tudott az Exchange szerverrel, akkor ezt a sebezhetőséget kihasználva fájlt írhatott a szerver bármely elérési útjára. Hitelesítést végezhetett a CVE-2021-26855 SSRF sebezhetőség kihasználásával, vagy egy jogos rendszergazdai hitelesítő adatok feltörésével.

Ezen eszközök legutóbbi tevékenységei és korábbi kihasználása során a Silk Typhoon különféle webes shelleket használt a perzisztencia fenntartása és az áldozati környezetek távoli elérésének lehetővé tétele érdekében.

Mérséklési és fenyegetésvadászati útmutató

A Microsoft a következőket javasolja:

✅ Vizsgálja meg az Entra Connect naplóit anomáliák szempontjából.

✅ Figyelje a szolgáltatásneveket új titkok vagy hitelesítő adatok szempontjából.

✅ Vizsgálja meg az újonnan létrehozott alkalmazásokat a környezetében.

✅ Azonosítsa a többfelhasználós alkalmazásokat, és vizsgálja meg a hitelesítési naplókat.

✅ Elemezze a SharePoint- vagy e-mail-adatlopással kapcsolatos Microsoft Graph és eDiscovery tevékenységeket.

✅ Ellenőrizze az új felhasználókat a feltört eszközökön, és tekintse át a VPN-naplókat gyanús bejelentkezések szempontjából.

A Microsoft értesítette az érintett ügyfeleket, és továbbra is figyelemmel kíséri a Silk Typhoon fejlődő tevékenységeit. A biztonsági ellenőrzések megerősítése, a javítások alkalmazása és az MFA betartatása továbbra is kulcsfontosságú védelem ezen fenyegetésekkel szemben.

Microsoft Sentinel

A Microsoft Sentinel ügyfelei a TI Mapping elemzések (egy „TI map” előtaggal ellátott elemzéssorozat) segítségével automatikusan egyeztethetik a blogbejegyzésben említett rosszindulatú domainjelzőket a munkaterületükön található adatokkal. Ha a TI Map elemzések jelenleg nincsenek telepítve, az ügyfelek telepíthetik a Threat Intelligence megoldást a Microsoft Sentinel Content Hubból, hogy az elemzési szabály telepítve legyen a Sentinel munkaterületükön.

A Microsoft Sentinel ügyfelei a következő lekérdezéseket használhatják a Silk Typhoon vírussal kapcsolatos viselkedés észlelésére:

Ajánlások

A Silk Typhoon tevékenységének észlelése és enyhítése érdekében a Microsoft a következőket javasolja:

Győződjön meg arról, hogy minden nyilvánosan elérhető eszköz javítva van. Fontos megjegyezni, hogy egy sebezhető eszköz javítása nem orvosolja a sebezhető eszközhöz privilegizált hozzáférést szerzett fenyegető szereplők által a kompromittálódás utáni tevékenységeket.
Ellenőrizze, hogy minden Ivanti Pulse Connect VPN javítva van-e a CVE-2025-0282 sérülékenység kezelésére, és futtassa a javasolt integritás-ellenőrző eszközt a tanácsadóban javasoltak szerint. Fontolja meg az aktív vagy állandó munkamenetek leállítását a javítási ciklusok után.
Védje magát az alkalmazások és a szolgáltatásnevek jogos visszaélései ellen szigorú ellenőrzések és monitorozás bevezetésével ezen biztonsági identitások számára. A Microsoft a következő enyhítő intézkedéseket javasolja a fenyegetés hatásának csökkentése érdekében: Naplózza az összes identitás, felhasználó, szolgáltatásnév és Microsoft Graph Data Connect alkalmazás aktuális jogosultsági szintjét (használja a Microsoft Graph Data Connect engedélyezési portált), hogy megértse, mely identitások rendelkeznek magas jogosultsági szinttel. Vizsgálja meg alaposabban a jogosultságokat, ha ismeretlen identitáshoz tartoznak, olyan identitásokhoz tartoznak, amelyek már nincsenek használatban, vagy nem felelnek meg a célnak. A rendszergazdák a szükségesnél nagyobb identitás-jogosultságokat is kioszthatnak. A védőknek figyelmet kell fordítaniuk az alkalmazás-engedélyekkel rendelkező alkalmazásokra, mivel ezek az alkalmazások túlzott jogosultságokkal rendelkezhetnek. Olvasson el további útmutatást a feltört és rosszindulatú alkalmazások vizsgálatáról. Azonosítsa a visszaélésszerűen használt OAuth-alkalmazásokat anomáliadetektálási szabályzatok segítségével. Azonosítsa a visszaélésszerűen használt OAuth-alkalmazásokat, amelyek érzékeny Exchange Online adminisztratív tevékenységeket végeznek az alkalmazásirányításon keresztül. Vizsgálja meg és javítsa ki a kockázatos OAuth alkalmazásokat. Tekintse át az EWS.AccessAsUser.All és EWS.full_access_as_app engedélyekkel rendelkező alkalmazásokat, és állapítsa meg, hogy ezekre továbbra is szükség van-e a bérlőben. Ha már nincs rájuk szükség, el kell távolítani őket. Ha az alkalmazásoknak hozzá kell férniük a postaládákhoz, a részletes és skálázható hozzáférés az Exchange Online-ban található alkalmazások szerepköralapú hozzáférés-vezérlésével valósítható meg. Ez a hozzáférési modell biztosítja, hogy az alkalmazások csak a szükséges postaládákhoz kapjanak hozzáférést.

Figyelje a szolgáltatásnév bejelentkezéseit szokatlan helyekről. Két fontos jelentés hasznos napi tevékenységfigyelést biztosíthat: A kockázatos bejelentkezésekről szóló jelentés olyan felhasználói hozzáférési tevékenységeket mutat be, ahol a jogos tulajdonos esetleg nem végezte el a bejelentkezést. A kockázatos felhasználó a jelentések olyan felhasználói fiókokat is feltárnak, amelyek esetleg veszélybe kerültek, például egy kiszivárgott hitelesítő adat észlelése vagy egy váratlan helyről történő felhasználó bejelentkezése tervezett utazás hiányában.

Védje magát a hitelesítő adatok veszélyeztetése ellen a hitelesítő adatok higiéniájának kiépítésével, a minimális jogosultságok elvének gyakorlásával és a hitelesítő adatok kitettségének csökkentésével. A Microsoft a következő enyhítési intézkedéseket javasolja a fenyegetés hatásának csökkentése érdekében.
Vezesse be az Azure biztonsági teljesítménymutatóját és az identitásinfrastruktúra biztonságossá tételére vonatkozó általános ajánlott gyakorlatokat, beleértve:Akadályozza meg, hogy a helyszíni szolgáltatásfiókok közvetlen jogosultságokkal rendelkezzenek a felhőalapú erőforrásokhoz, hogy megakadályozza a felhőbe történő oldalirányú mozgást.Győződjön meg arról, hogy a „töréses üveg” fiókjelszavak offline tárolva legyenek, és konfigurálja a mézes token tevékenységet a fiókhasználathoz.Vezessen be feltételes hozzáférési szabályzatokat, amelyek érvényesítik a Microsoft zéró bizalom elveit.
Engedélyezze a kockázatalapú felhasználói bejelentkezési védelmet, és automatizálja a fenyegetésekre adott válaszokat a magas kockázatú bejelentkezések blokkolására minden helyről, és engedélyezze a többtényezős hitelesítést (MFA) a közepes kockázatúak esetében.
Győződjön meg arról, hogy a VPN-hozzáférés modern hitelesítési módszerekkel védett.
Az összes több-bérlős alkalmazás azonosítása, az engedélyek felmérése és a gyanús bejelentkezések kivizsgálása.

Kompromittálódás jelei

A Silk Typhoonról nem ismert, hogy saját dedikált infrastruktúrát használna a műveletei során. A fenyegető szereplő jellemzően feltört titkos hálózatokat, proxykat és VPN-eket használ infrastruktúráként, valószínűleg obfuszkálva a műveleteiket. Azonban azt is megfigyelték, hogy rövid bérleti virtuális magánkiszolgáló (VPS) infrastruktúrát használnak a működésük támogatására.

Microsoft Defender XDR észlelések

A Microsoft Defender XDR ügyfelei az alábbi alkalmazható észlelések listáját tekinthetik meg. A Microsoft Defender XDR koordinálja az észlelést, a megelőzést, a vizsgálatot és a reagálást a végpontok, identitások, e-mailek és alkalmazások között, hogy integrált védelmet nyújtson az olyan támadások ellen, mint amilyenről ebben a blogban szó esik.

A kiépített hozzáféréssel rendelkező ügyfelek a Microsoft Security Copilotot is használhatják a Microsoft Defenderben az incidensek kivizsgálására és kezelésére, a fenyegetések felkutatására és szervezetük releváns fenyegetési információkkal való védelmére.

Microsoft Defender for Endpoint

A következő Microsoft Defender for Endpoint riasztások jelezhetik a kapcsolódó fenyegetési tevékenységet:

Silk Typhoon tevékenységcsoport

A következő riasztások a fenyegetéshez kapcsolódó fenyegetési tevékenységet is jelezhetnek. Vegye figyelembe azonban, hogy ezeket a riasztásokat nem kapcsolódó fenyegetési tevékenység is kiválthatja.

Exchange Server sebezhetőségeinek lehetséges kihasználása
Gyanús web shell észlelése
Gyanús Active Directory pillanatkép-memória
Gyanús hitelesítőadat-memória az NTDS.dit fájlból

Microsoft Defender for Identity

A következő Microsoft Defender for Identity riasztások jelezhetnek kapcsolódó fenyegetési tevékenységet:

Gyanús interaktív bejelentkezés az Entra Connect szerverre
Gyanús visszaírás az Entra Connect által egy érzékeny felhasználón
Felhasználói jelszó visszaállítása Entra Connect fiók által
Gyanús Entra szinkronizálási jelszó módosítása

Microsoft Defender XDR

A következő riasztások jelezhetik a fenyegetéshez kapcsolódó fenyegetési tevékenységet. Fontos megjegyezni, hogy ezeket a riasztásokat nem kapcsolódó fenyegetési tevékenység is kiválthatja.

Gyanús tevékenységek az Azure Key Vaulttal kapcsolatban egy kockázatos felhasználó által

Microsoft Defender for Cloud

Szokatlan felhasználó fért hozzá egy kulcstárolóhoz
Szokatlan alkalmazás fért hozzá egy kulcstárolóhoz
Hozzáférés gyanús IP-címről egy kulcstárolóhoz
Hozzáférés megtagadva gyanús IP-címről egy kulcstárolóhoz

Microsoft Defender for Cloud Apps

A következő Microsoft Defender for Cloud Apps riasztások jelezhetik a kapcsolódó fenyegetési tevékenységet, ha az alkalmazásirányítás engedélyezve van:

Szokatlan hitelesítő adatok hozzáadása egy OAuth alkalmazáshoz
Gyanús hitelesítő adatok hozzáadása egy alvó alkalmazáshoz
Nem használt alkalmazás újonnan fér hozzá API-khoz
Gyanús metaadatokkal rendelkező alkalmazás Exchange-engedéllyel rendelkezik
Szokatlan felhasználói ügynökkel rendelkező alkalmazás fér hozzá az e-mail adatokhoz az Exchange Web Servicesen keresztül
EWS alkalmazásengedélyekkel rendelkező alkalmazás számos e-mailhez fér hozzá
Az alkalmazás rendellenes Graph-hívásokat hajtott végre az Exchange-munkaterheléshez a tanúsítvány frissítése vagy új hitelesítő adatok hozzáadása után
Gyanús felhasználó létrehozott egy OAuth alkalmazást, amely postaláda-elemekhez fért hozzá
Gyanús OAuth alkalmazást használtak gyűjtési tevékenységekhez Graph API használatával
Kockázatos felhasználó frissített egy alkalmazást, amely elérte az e-maileket, és e-mail tevékenységet hajtott végre a Graph API-n keresztül
Gyanús OAuth alkalmazás e-mail tevékenysége a Graph API-n keresztül
Gyanús OAuth alkalmazás e-mail tevékenysége az EWS API-n keresztül

Microsoft Defender sebezhetőség Kezelés

A Microsoft Defender sebezhetőségkezelése olyan eszközöket azonosít, amelyeket a fenyegetésben használt következő sebezhetőségek érinthetnek:

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Microsoft Defender külső támadási felület kezelése

A következő címmel ellátott támadási felület elemzései sebezhető eszközöket jelezhetnek a hálózaton, de nem feltétlenül utalnak kihasználásra:

[Potenciális] CVE-2024-3400

– Palo Alto Networks PAN-OS parancsbefecskendezési sebezhetősége
[Potenciális] CVE-2023-3519 – Citrix NetScaler ADC és átjáró nem hitelesített
ProxyLogon – Microsoft Exchange Server sebezhetőségek (Elérhető gyorsjavítás)

Megjegyzés: A [Potenciális] jelzésű támadási felület betekintése azt jelzi, hogy egy szolgáltatás fut, de nem tudja ellenőrizni, hogy a szolgáltatás sebezhető verziót futtat-e. Az ügyfeleknek a vizsgálat részeként ellenőrizniük kell az erőforrásokat, hogy azok naprakészek-e.

Microsoft Security Copilot

A Security Copilot ügyfelei az önálló élmény segítségével létrehozhatják saját promptjaikat, vagy futtathatják a következő előre elkészített promptkönyveket az incidensre adott válasz vagy a fenyegetéssel kapcsolatos vizsgálati feladatok automatizálásához:

Incidens kivizsgálása
Microsoft felhasználói elemzés
Fenyegetésfelelős profilja
Threat Intelligence 360 jelentés az MDTI cikk alapján (lásd az alábbi fenyegetésfelderítési jelentéseket)
Sebezhetőségi hatásvizsgálat

Vegye figyelembe, hogy egyes promptkönyvekhez hozzáférés szükséges a Microsoft-termékek, például a Microsoft Defender XDR vagy a Microsoft Sentinel bővítményeihez.

Sió-Informatika Rendszerház