Microsoft сообщает о кибератаках группы Silk Typhoon на облачные и ИТ-приложения для кражи коммерческой информации

Группа хакеров Silk Typhoon была замечена в попытках атаковать популярные ИТ-приложения. Команда по выявлению угроз Microsoft раскрыла новые тактики группы, которая, как полагают, стояла за недавним взломом Министерства финансов США.

В новом отчете команда по выявлению угроз Microsoft сообщила о том, что китайская группа Silk Typhoon переключилась на атаки “находящихся в широком использовании IT-решений”, таких как облачные приложения и инструменты удаленного управления. В ходе своих атак группа целенаправленно поражала различные сектора, включая ИТ-услуги и инфраструктуру, компании по управлению удаленными системами (RMM), здравоохранение, юридические услуги, оборонную промышленность, правительственное агентства и многое другое.

Используя нулевые уязвимости в устройствах краевой сети и демонстрируя высокий технический уровень, группа Silk Typhoon зарекомендовала себя как одна из крупнейших китайских групп хакеров с “наибольшим числом целевых объектов”, отметил Microsoft.

Отчет описывает несколько обнаруженных угроз от группы Silk Typhoon, включая использование украденных API-ключа и учетных данных для управления привилегиями доступа, облачными провайдерами и компаниями по управлению облачной средой — это позволило группе получить доступ к клиентским окружениям компаний.

“Silk Typhoon проявила высокий уровень понимания того, как развертываются и конфигурируются облачные среды, что позволяет им эффективно перемещаться внутри систем, поддерживать постоянное присутствие и быстро извлекать данные из сред жертв”, — говорится в отчете.

“С тех пор как команда по выявлению угроз Microsoft начала слежку за этим актором в 2020 году, Silk Typhoon использовала множество веб-оболочек (web shells), которые позволяют им выполнять команды, поддерживать постоянное присутствие и извлекать данные из сред жертв.”

Утверждается, что группа Silk Typhoon стояла за взломом Министерства финансов США, крупным инцидентом, в ходе которого была компрометирована компания BeyondTrust — поставщик ПО для удаленного доступа, давшая возможность атакующим получить доступ к ключевым системам.

Китай всегда решительно отрицал какую-либо связь с группой или другими участниками кибератак и призывал США прекратить распространение “дезинформации” о предполагаемых связях государства с акторами угроз.