Murky-Panda-Hacker, auch bekannt als Silk Typhoon oder Hafnium, haben ihre Methoden erweitert, um vertrauensvolle Cloud-Beziehungen auszunutzen. Durch die Kompromittierung von SaaS- und Cloud-Lösungsanbietern infiltriert die Gruppe nachgelagerte Kundenumgebungen und erhält tiefen Zugriff auf sensible Daten. Dies markiert einen gefährlichen Taktikwechsel, bei dem Cloud-Vertrauen genutzt wird, um Angriffe über mehrere Organisationen hinweg zu verbreiten.
Wie die Murky-Panda-Hacker vorgehen
Angriff auf SaaS-Anbieter
Die Gruppe nutzte Zero-Day-Schwachstellen in SaaS-Anbietern aus, um Entra-ID-Anwendungsgeheimnisse zu stehlen. Dadurch konnten sie Service-Principals nachahmen, sich in Kundenumgebungen einloggen und auf wertvolle Daten wie E-Mails zugreifen.
Ausnutzen von Cloud-Lösungsanbietern
Murky-Panda-Hacker kompromittierten einen Microsoft-Cloud-Anbieter mit delegierten Administratorrechten. Sie übernahmen ein Admin-Agent-Konto, eskalierten Berechtigungen und erhielten Global-Administrator-Zugriff über mehrere Kundenumgebungen hinweg. Backdoor-Konten und eingeschleuste Geheimnisse sicherten Persistenz und Kontrolle.
Klassische Einbruchstaktiken
Die Gruppe nutzt zudem ungepatchte, internetseitige Systeme, darunter bekannte Schwachstellen in Citrix NetScaler und Ivanti Pulse Connect VPN. Um den Zugang zu halten, setzen sie Webshells wie Neo-reGeorg und China Chopper ein. Ein eigens entwickelter Remote-Access-Trojaner auf Golang-Basis, genannt CloudedHope, ermöglicht Persistenz, Täuschung und Anti-Analyse.
Tarnung und Ausdauer
Die Murky-Panda-Hacker unternehmen erhebliche Anstrengungen, um ihre Präsenz zu verbergen. Sie löschen Protokolle, ändern Zeitstempel und bereinigen Umgebungen, um die Erkennung zu erschweren. Kompromittierte SOHO-Geräte dienen als Exit-Nodes, wodurch bösartiger Datenverkehr als lokaler Datenverkehr getarnt wird. Diese sorgfältige Vorgehensweise ermöglicht es ihnen, über längere Zeit unentdeckt in Netzwerken zu bleiben.
Warum das wichtig ist
- Die Ausnutzung von Cloud-Vertrauen ist selten, aber hochwirksam.
- Ein einzelner Vorfall kann mehrere nachgelagerte Organisationen betreffen.
- Zugriff auf Global-Administrator-Konten bietet unvergleichliche Sichtbarkeit und Kontrolle.
- Traditionelle Verteidigungsmaßnahmen erkennen Aktivitäten in vertrauenswürdigem Cloud-Verkehr oft nicht.
Wie sich Organisationen schützen können
- Entra-ID-Service-Principals prüfen und verdächtige Anmeldeaktivitäten überwachen.
- Delegierte Administratorkonten mit MFA und Protokollprüfungen überwachen.
- Exponierte Systeme schnell patchen, insbesondere internetseitige Software.
- Normales Verhalten als Basislinie festlegen, um Anomalien in Cloud-Aktivitäten zu erkennen.
Fazit
Murky-Panda-Hacker zeigen, wie vertrauensvolle Cloud-Beziehungen als Waffe gegen Kundenumgebungen eingesetzt werden können. Durch die Kombination fortschrittlicher Cloud-Exploits mit klassischen Einbruchsmethoden stellt die Gruppe eine wachsende Bedrohung für Organisationen weltweit dar. Starke Überwachung, schnelles Patchen und Identitätssicherheit sind entscheidend, um das Risiko zu minimieren.
0 Kommentare zu „Murky-Panda-Hacker nutzen Cloud-Vertrauen, um Kunden zu kompromittieren“