Murky Panda-hackere udnytter cloud-tillid til at kompromittere kunder

Murky Panda-hackere udnytter cloud-tillid til at kompromittere kunder

Murky Panda-hackere, også kendt som Silk Typhoon eller Hafnium, har udvidet deres metoder til at udnytte betroede cloud-relationer. Ved at kompromittere SaaS- og cloud-løsningsudbydere infiltrerer gruppen kundemiljøer nedstrøms og får dyb adgang til følsomme data. Dette markerer et farligt skifte i taktik, hvor cloud-tillid bruges til at sprede angreb på tværs af flere organisationer.

Sådan arbejder Murky Panda-hackerne

Angriber SaaS-udbydere

Gruppen udnyttede zero-day-sårbarheder i SaaS-udbydere for at stjæle Entra ID-applikationshemmeligheder. Dette gjorde det muligt at efterligne serviceprincipals, logge ind i kundemiljøer og få adgang til værdifulde data såsom e-mails.

Udnytter cloud-løsningsudbydere

Murky Panda-hackere kompromitterede en Microsoft-cloudforhandler med delegerede administrative privilegier. De kaprede en Admin Agent-konto, eskalerede rettigheder og opnåede Global Administrator-adgang på tværs af kunders miljøer. Bagdørskonti og injicerede hemmeligheder sikrede vedvarende kontrol.

Klassiske indbrudstaktikker

Gruppen udnytter også usikrede systemer med internetadgang, herunder kendte sårbarheder i Citrix NetScaler og Ivanti Pulse Connect VPN. For at fastholde adgangen anvender de webshells som Neo-reGeorg og China Chopper. En specialudviklet fjernadgangstrojan baseret på Golang, kaldet CloudedHope, giver vedvarende adgang, vildledning og anti-analyse.

Skjult tilstedeværelse og vedholdenhed

Murky Panda-hackerne tager omfattende skridt for at skjule deres tilstedeværelse. De sletter logfiler, ændrer tidsstempler og rydder op i miljøer for at hindre opdagelse. Kompromitterede SOHO-enheder bruges som exit-noder, hvilket får ondsindet trafik til at fremstå som lokal aktivitet. Denne metodiske tilgang gør det muligt for dem at forblive i netværk i længere tid.

Hvorfor dette er vigtigt

  • Udnyttelse af cloud-tillid er sjælden, men meget effektiv.
  • Ét kompromis kan påvirke flere organisationer nedstrøms.
  • Adgang til Global Administrator-konti giver uovertruffen indsigt og kontrol.
  • Traditionelle forsvar opdager ofte ikke aktivitet skjult i betroet cloud-trafik.

Sådan kan organisationer forsvare sig

  • Revider Entra ID serviceprincipals og overvåg mistænkelig legitimationsbrug.
  • Overvåg delegerede adminkonti med MFA og loggennemgang.
  • Patch eksponerede systemer hurtigt, især internetvendt software.
  • Etabler baselines for normal adfærd for at opdage afvigelser i cloud-aktivitet.

Konklusion

Murky Panda-hackerne demonstrerer, hvordan betroede cloud-relationer kan anvendes som våben til at angribe kundemiljøer. Ved at kombinere avanceret cloud-udnyttelse med klassiske indbrudsmetoder udgør gruppen en voksende trussel mod organisationer verden over. Stærk overvågning, hurtig patching og sikker identitetshåndtering er afgørende for at reducere risikoen.

Siyana Georgieva

0 svar til “Murky Panda-hackere udnytter cloud-tillid til at kompromittere kunder”