Murky Panda-hackare utnyttjar moln­förtroende för att bryta sig in hos kunder

Murky Panda-hackare utnyttjar moln­förtroende för att bryta sig in hos kunder

Murky Panda-hackare, även kända som Silk Typhoon eller Hafnium, har utökat sina metoder för att utnyttja betrodda molnrelationer. Genom att kompromettera SaaS- och molnleverantörer kan gruppen infiltrera kundmiljöer nedströms och få djup åtkomst till känslig data. Detta markerar en farlig skiftning i taktik där moln­förtroende används för att sprida attacker över flera organisationer.

Hur Murky Panda-hackare arbetar

Attackerar SaaS-leverantörer

Gruppen utnyttjade zero-day-sårbarheter i SaaS-leverantörer för att stjäla Entra ID-applikationshemligheter. Detta gjorde det möjligt att imitera serviceprincipaler, logga in i kundmiljöer och få åtkomst till värdefulla data som e-post.

Utnyttjar molnlösningsleverantörer

Murky Panda-hackare komprometterade en Microsoft-molnleverantör med delegerade administrativa privilegier. De kapade ett Admin Agent-konto, eskalerade behörigheter och fick Global Administrator-åtkomst över kunders miljöer. Bakdörrskonton och injicerade hemligheter säkerställde uthållighet och kontroll.

Klassiska intrångstaktiker

Gruppen utnyttjar också osäkrade system med internetåtkomst, inklusive kända sårbarheter i Citrix NetScaler och Ivanti Pulse Connect VPN. För att behålla åtkomsten använder de webbsnäckor som Neo-reGeorg och China Chopper. En egenutvecklad fjärråtkomsttrojan i Golang, kallad CloudedHope, används för uthållighet, vilseledning och anti-analys.

Stealth och uthållighet

Murky Panda-hackare vidtar omfattande åtgärder för att dölja sin närvaro. De raderar loggar, ändrar tidsstämplar och sanerar miljöer för att försvåra upptäckt. Komprometterade SOHO-enheter används som exitnoder, vilket får skadlig trafik att se ut som lokal aktivitet. Denna noggranna metodik gör att de kan stanna kvar i nätverk under lång tid.

Varför detta är viktigt

  • Att utnyttja moln­förtroende är en ovanlig men mycket effektiv taktik.
  • Ett enda intrång kan påverka flera organisationer nedströms.
  • Tillgång till Global Administrator-konton ger oöverträffad insyn och kontroll.
  • Traditionella försvar misslyckas ofta med att upptäcka aktivitet dold i betrodd molntrafik.

Hur organisationer kan försvara sig

  • Granska Entra ID serviceprincipaler och spåra misstänkt autentiseringsaktivitet.
  • Övervaka delegerade adminkonton med MFA och logggranskning.
  • Patcha exponerade system snabbt, särskilt mjukvara med internetåtkomst.
  • Etablera baslinjer för normalt beteende för att upptäcka avvikelser i molnaktivitet.

Slutsats

Murky Panda-hackare visar hur betrodda molnrelationer kan användas som vapen för att angripa kundmiljöer. Genom att kombinera avancerad molnexploatering med klassiska intrångsmetoder utgör gruppen ett växande hot mot organisationer världen över. Ständig övervakning, snabb patchning och stark identitetssäkerhet är avgörande för att minska risken.

Siyana Georgieva

0 svar till ”Murky Panda-hackare utnyttjar moln­förtroende för att bryta sig in hos kunder”