Изображение: recraft
В новом отчёте об угрозах за 2025 год компания CrowdStrike указала на значительный рост числа атак на облачные сервисы — по её данным, объём облачных вторжений увеличился на 136%. Существенная часть этого роста связана с деятельностью группировки Murky Panda (она же Silk Typhoon), которую эксперты связывают с Китаем.
Как сообщается в отчёте CrowdStrike, Murky Panda действует с 2023 года и сосредоточена на атаках против организаций из государственного, технологического, юридического, образовательного и исследовательского секторов в Северной Америке. Основная цель — кража конфиденциальных данных.
Согласно информации из документа, группировка использует несколько устойчивых тактик. Она эксплуатирует уязвимости нулевого дня (в частности, CVE-2023-3519 в Citrix NetScaler), устанавливает веб-оболочки на взломанных системах, применяет вредоносное ПО CloudedHope для Linux и активно использует скомпрометированные устройства SOHO в странах-целях как прокси-узлы. Это позволяет скрывать географическое происхождение атаки.
Но ключевой особенностью деятельности Murky Panda, как подчёркивается в отчёте CrowdStrike, стало стремление к взлому облачных инфраструктур. В документе указано, что группировка использует цепочки доверия внутри экосистем SaaS и IaaS, чтобы проникать глубже в среду жертвы и её партнёров.
Как минимум в двух инцидентах, описанных в отчёте, Murky Panda получила начальный доступ к облачной инфраструктуре провайдеров SaaS, используя уязвимости нулевого дня. После этого атакующие изучали архитектуру сервисов и с их помощью получали доступ к клиентам этих провайдеров. Исследователи отмечают, что одной из жертв был поставщик, использовавший Entra ID для управления доступом. Murky Panda, вероятно, скомпрометировала секретный ключ регистрации приложения, после чего использовала его для входа в инфраструктуры клиентов второго уровня от имени сервисных учётных записей.
Также, как указано в отчёте, в другом случае злоумышленники атаковали партнёра Microsoft с делегированными административными правами (DAP) и с помощью украденных привилегий создали в инфраструктуре жертвы нового пользователя, интегрировав его в заранее существующие группы. Одна из групп обеспечила этому аккаунту административный доступ к приложениям, что позволило Murky Panda устанавливать собственные секреты и аутентифицироваться как сервисные аккаунты. Это привело к доступу к почте и контрольным параметрам приложений.
Как подчёркивается в отчёте CrowdStrike, Murky Panda — одна из немногих известных групп, активно взламывающих цепочки доверия в облаке. В документе уточняется, что такие векторы атак до сих пор редко отслеживаются, в отличие от более привычных методов, вроде компрометации легитимных учётных данных или эксплуатации общедоступных сервисов.
Оригинал публикации на сайте CISOCLUB: "CrowdStrike: Murky Panda атакует облачные среды через доверенные связи и нулевые уязвимости".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.