Aktor ancaman berlapis China di balik eksploitasi nol dari kelemahan keamanan di Microsoft Exchange Server pada Januari 2021 telah menggeser taktiknya untuk menargetkan rantai pasokan Teknologi Informasi (TI) sebagai sarana untuk mendapatkan akses awal ke jaringan perusahaan.
Itu menurut temuan baru dari tim intelijen Microsoft Ancaman, yang mengatakan Topan sutra (sebelumnya Hafnium) Hacking Group sekarang menargetkan solusi TI seperti alat manajemen jarak jauh dan aplikasi cloud untuk mendapatkan pijakan.
“Setelah berhasil mengorbankan korban, topan sutra menggunakan kunci dan kredensial yang dicuri untuk menyusup ke jaringan pelanggan di mana mereka kemudian dapat menyalahgunakan berbagai aplikasi yang dikerahkan, termasuk Layanan Microsoft dan lainnya, untuk mencapai tujuan spionase mereka,” kata raksasa teknologi dalam sebuah laporan yang diterbitkan hari ini.
Kolektif permusuhan dinilai “sumber daya yang baik dan efisien secara teknis,” dengan cepat menggunakan eksploitasi untuk kerentanan nol-hari di perangkat tepi untuk serangan oportunistik yang memungkinkan mereka untuk skala serangan mereka pada skala dan di berbagai sektor dan daerah.
Ini termasuk layanan dan infrastruktur teknologi informasi (TI), perusahaan pemantauan dan manajemen jarak jauh (RMM), penyedia layanan terkelola (MSP) dan afiliasi, perawatan kesehatan, layanan hukum, pendidikan tinggi, pertahanan, pemerintah, organisasi non-pemerintah (LSM), energi, dan lainnya yang berlokasi di Amerika Serikat dan di seluruh dunia.
Topan sutra juga telah diamati mengandalkan berbagai cangkang web untuk mencapai eksekusi perintah, kegigihan, dan exfiltrasi data dari lingkungan korban. Ini juga dikatakan telah menunjukkan pemahaman yang tajam tentang infrastruktur cloud, lebih lanjut memungkinkannya untuk bergerak secara lateral dan memanen data yang menarik.
Paling tidak sejak akhir 2024, para penyerang telah dikaitkan dengan serangkaian metode baru, di antaranya menyangkut penyalahgunaan kunci API yang dicuri dan kredensial yang terkait dengan Privilege Access Management (PAM), penyedia aplikasi cloud, dan perusahaan manajemen data cloud untuk melakukan kompromi rantai pasokan pelanggan hilir.
“Memanfaatkan akses yang diperoleh melalui kunci API, aktor melakukan pengintaian dan pengumpulan data pada perangkat yang ditargetkan melalui akun admin,” kata Microsoft, menambahkan target kegiatan ini terutama mencakup pemerintah negara bagian dan lokal, serta sektor TI.
Beberapa rute akses awal lainnya yang diadopsi oleh topan sutra memerlukan eksploitasi nol-hari dari cacat keamanan pada Ivanti Pulse Connect VPN (CVE-2025-0282) dan penggunaan serangan semprotan kata sandi menggunakan kredensial perusahaan yang muncul dari kata sandi yang bocor pada repositori publik yang di-host pada github dan lainnya.
Juga dieksploitasi oleh aktor ancaman sebagai nol -hari adalah –
- CVE-2024-3400, cacat injeksi komando di Firewall Palo Alto Networks
- CVE-2023-3519, kerentanan Eksekusi Jarak Jauh (RCE) yang tidak autentikasi yang mempengaruhi Citrix Netscaler Application Delivery Controller (ADC) dan Netscaler Gateway
- CVE-2021-26855 (alias Proxylogon), CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065, seperangkat kerentanan yang berdampak pada Microsoft Exchange Server
Akses awal yang sukses diikuti oleh aktor ancaman yang mengambil langkah-langkah untuk bergerak secara lateral dari lingkungan di tempat ke lingkungan cloud, dan memanfaatkan aplikasi OAuth dengan izin administratif untuk melakukan email, OneDrive, dan exfiltrasi data SharePoint melalui MSGRAPH API.
Dalam upaya untuk mengaburkan asal aktivitas jahat mereka, topan sutra bergantung pada “covertnetwork” yang terdiri dari peralatan cyberoam yang dikompromikan, router zyxel, dan perangkat QNAP, ciri khas beberapa aktor yang disponsori negara Cina.
“Selama kegiatan baru -baru ini dan eksploitasi historis dari peralatan ini, topan sutra menggunakan berbagai kerang web untuk mempertahankan kegigihan dan untuk memungkinkan para aktor mengakses lingkungan korban dari jarak jauh,” kata Microsoft.
