Murky Panda, bulut hizmet sağlayıcılarını kullanarak müşteri ağlarına sızıyor: Çin destekli grup güven ilişkilerini istismar ediyor
CrowdStrike raporuna göre Çin devlet destekli Murky Panda (Silk Typhoon/Hafnium), bulut sağlayıcılarını hedef alarak müşterilerin ağlarına erişim sağlıyor. Grup, sıfırıncı gün açıklarını, yetkili hesapları ve Entra ID gizli anahtarlarını kullanarak e-postalara ve hassas verilere ulaşıyor.
Çin devlet destekli tehdit grubu Murky Panda (Microsoft tarafından Silk Typhoon, daha önce Hafnium) yeni saldırı yöntemleriyle dikkat çekiyor. Grup, güvenilir bulut hizmet sağlayıcılarının müşteri sistemlerindeki doğrudan erişim ayrıcalıklarını kötüye kullanarak kurumsal ağlara sızıyor.
Saldırı yöntemleri
- Bilinen açıklar: Citrix NetScaler’daki
CVE-2023-3519, Microsoft Exchange’deki ProxyLogon, Ivanti Pulse Connect VPN’dekiCVE-2025-0282. - Son saldırılarda grup, bulut sağlayıcılarını ele geçirerek güven zincirini istismar etmeye başladı.
- Bir olayda, SaaS sağlayıcısının bulut ortamına sıfırıncı gün açıklarıyla sızıldı ve Entra ID’deki uygulama kayıt anahtarı ele geçirilerek müşteri verilerine erişildi.
- Başka bir vakada, Microsoft çözüm sağlayıcısının delegeli yönetici ayrıcalıkları istismar edildi. “Admin Agent” grubundaki bir hesapla tüm müşteri ortamlarında Global Administrator yetkisi kazanıldı ve kalıcılık için arka kapı hesaplar açıldı.
Kullanılan araçlar
- Neo-reGeorg ve China Chopper web shell’leri
- CloudedHope adlı özel Linux tabanlı RAT
- Log kayıtlarını silme, zaman damgalarını değiştirme, küçük ofis/ev cihazlarını proxy olarak kullanma
CrowdStrike’ın uyarısı
CrowdStrike, bu tür güven ilişkisi istismarlarının nadir ama tehlikeli olduğunu vurguluyor. Geleneksel kimlik bilgisi hırsızlığına göre daha az izlenen bu yöntem, saldırganların meşru trafik içinde saklanmasına olanak sağlıyor.
Rapora göre Murky Panda, Kuzey Amerika’daki hükümet, teknoloji, hukuk ve profesyonel hizmet sektörlerini hedef alıyor, ayrıca tedarik zinciri üzerinden hassas verilere erişiyor.
Önerilen önlemler
- Entra ID üzerinde olağandışı hizmet hesabı girişlerini izlemek
- Bulut sağlayıcı hesaplarında çok faktörlü kimlik doğrulama uygulamak
- Entra ID loglarını düzenli incelemek
- İnternete açık altyapıları hızlıca yamalamak
CrowdStrike, “Bulut ortamlarına bağımlı kuruluşlar, güven ilişkilerinin kötüye kullanılması riskine karşı özellikle savunmasızdır.” değerlendirmesinde bulundu.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
