Microsoft сообщает о смене тактики китайской кибершпионской группы Silk Typhoon, которая теперь активно атакует инструменты удалённого управления и облачные сервисы в рамках атак на цепочку поставок. Новый подход позволяет злоумышленникам получать доступ к клиентам на более глубоком уровне.
Компания подтверждает, что атаки затронули несколько отраслей, включая государственные учреждения, IT-сервисы, здравоохранение, оборонный сектор, образование, НПО и энергетическую сферу. Silk Typhoon использует уязвимости в необновлённых приложениях с целью повышения привилегий и последующего выполнения вредоносных действий в скомпрометированных системах. После взлома группа применяет украденные ключи и учётные данные для проникновения в сети клиентов, используя уязвимости в популярных сервисах.
Ранее Silk Typhoon была известна атаками на Управление по контролю за иностранными активами США (OFAC) в декабре 2024 года и похищением данных Комитета по иностранным инвестициям США (CFIUS). В тот же период группа начала применять украденные API-ключи и учётные данные для доступа к системам IT-поставщиков, решениям по управлению идентификацией, привилегированным доступом и инструментам удалённого мониторинга. Они также сканируют репозитории GitHub и другие публичные ресурсы в поисках утечек ключей и паролей, дополняя эти методы брутфорс-атаками.
Ранее злоумышленники атаковали организации напрямую, используя уязвимости в периферийных устройствах, устанавливая веб-оболочки и продвигаясь внутри сети через скомпрометированные VPN и RDP. Однако новый вектор атак через MSP-поставщиков позволяет им незаметно работать в облачных средах, похищая учётные данные Active Directory и злоупотребляя OAuth-приложениями.
Silk Typhoon теперь реже использует вредоносное ПО и веб-оболочки, делая ставку на эксплуатацию облачных сервисов для кражи данных и сокрытия следов. Microsoft зафиксировала, что группа использует уязвимости, в том числе zero-day, для начального доступа. Недавно они эксплуатировали критическую уязвимость в Ivanti Pulse Connect VPN ( CVE-2025-0282 ) для повышения привилегий и проникновения в корпоративные сети.
Ранее, в 2024 году, группа атаковала через уязвимость CVE-2024-3400 в Palo Alto Networks GlobalProtect и CVE-2023-3519 в Citrix NetScaler ADC и NetScaler Gateway. Microsoft также выявила, что Silk Typhoon создала “CovertNetwork” – скрытую инфраструктуру из заражённых устройств Cyberoam, Zyxel и QNAP, которые используются для атак и маскировки действий.
Для защиты от атак Microsoft рекомендует администраторам внедрить обновлённые индикаторы компрометации и правила обнаружения, опубликованные в их отчёте. Это существенно снизит вероятность компрометации и масштабных взломов.