Nhóm đối tượng đứng sau vụ khai thác zero-day các lỗ hổng bảo mật trong máy chủ Microsoft Exchange vào tháng 1 năm 2021 đã chuyển chiến thuật sang nhắm mục tiêu vào chuỗi cung ứng công nghệ thông tin (CNTT) như một phương tiện để có được quyền truy cập ban đầu vào mạng lưới doanh nghiệp

.

Đó là theo những phát hiện mới từ nhóm Microsoft Threat Intelligence, nhóm này cho biết nhóm tin tặc Silk Typhoon (trước đây là Hafnium) hiện đang nhắm mục tiêu vào các giải pháp CNTT như các công cụ quản lý từ xa và các ứng dụng đám mây để có được chỗ đứng. Gã khổng lồ công nghệ này cho biết trong một báo cáo được công bố hôm nay: “Sau khi xâm nhập thành công một nạn nhân, Silk Typhoon sử dụng các khóa và thông tin đăng nhập bị đánh cắp để xâm nhập vào mạng lưới khách hàng, nơi chúng có thể lạm dụng nhiều ứng dụng đã triển khai, bao gồm các dịch vụ của Microsoft và các ứng dụng khác, để đạt được các mục tiêu gián điệp của mình”

.

Tổ chức này được đánh giá là “có nguồn lực tốt và hiệu quả về mặt kỹ thuật,” nhanh chóng đưa vào sử dụng các khai thác cho các lỗ hổng zero-day trong các thiết bị biên để thực hiện các cuộc tấn công cơ hội cho phép chúng mở rộng quy mô tấn công trên nhiều lĩnh vực và khu vực. Điều này bao gồm các dịch vụ và cơ sở hạ tầng công nghệ thông tin (CNTT), các công ty giám sát và quản lý từ xa (RMM), các nhà cung cấp dịch vụ được quản lý (MSP) và các chi nhánh, y tế, dịch vụ pháp lý, giáo dục đại học, quốc phòng, chính phủ, các tổ chức phi chính phủ (NGO), năng lượng và những tổ chức khác có trụ sở tại Hoa Kỳ và trên toàn thế giới

.

Silk Typhoon cũng đã được quan sát thấy dựa vào nhiều web shell khác nhau để đạt được khả năng thực thi lệnh, duy trì sự hiện diện và trích xuất dữ liệu từ môi trường của nạn nhân. Nhóm này cũng được cho là đã thể hiện sự hiểu biết sâu sắc về cơ sở hạ tầng đám mây, cho phép chúng di chuyển ngang và thu thập dữ liệu quan tâm. Ít nhất là từ cuối năm 2024, những kẻ tấn công đã được liên kết với một loạt các phương pháp mới, trong đó chủ yếu liên quan đến việc lạm dụng các khóa API và thông tin đăng nhập bị đánh cắp liên quan đến quản lý truy cập đặc quyền (PAM), các nhà cung cấp ứng dụng đám mây và các công ty quản lý dữ liệu đám mây để thực hiện các cuộc tấn công vào chuỗi cung ứng của khách hàng

.

Microsoft cho biết: “Tận dụng quyền truy cập có được thông qua khóa API, kẻ tấn công đã thực hiện trinh sát và thu thập dữ liệu trên các thiết bị mục tiêu thông qua tài khoản quản trị,” đồng thời cho biết thêm rằng các mục tiêu của hoạt động này chủ yếu bao gồm chính quyền tiểu bang và địa phương, cũng như lĩnh vực CNTT. Một số con đường truy cập ban đầu khác mà Silk Typhoon áp dụng bao gồm khai thác zero-day một lỗ hổng bảo mật trong Ivanti Pulse Connect VPN (CVE-2025-0282) và sử dụng các cuộc tấn công dò mật khẩu bằng cách sử dụng thông tin đăng nhập doanh nghiệp bị rò rỉ trên các kho lưu trữ công khai được lưu trữ trên GitHub và các nền tảng khác

.

Ngoài ra, các lỗ hổng sau cũng bị nhóm đối tượng đe dọa này khai thác dưới dạng zero-day

:

•

CVE-2024-3400, một lỗ hổng chèn lệnh trong tường lửa Palo Alto Networks

•

CVE-2023-3519, một lỗ hổng thực thi mã từ xa (RCE) không cần xác thực ảnh hưởng đến Citrix NetScaler Application Delivery Controller (ADC) và NetScaler Gateway

•

CVE-2021-26855 (còn gọi là ProxyLogon), CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, một tập hợp các lỗ hổng ảnh hưởng đến Microsoft Exchange Server Sau khi truy cập ban đầu thành công, nhóm đối tượng đe dọa thực hiện các bước để di chuyển ngang từ môi trường tại chỗ sang môi trường đám mây và tận dụng các ứng dụng OAuth có quyền quản trị để thực hiện việc trích xuất dữ liệu email, OneDrive và SharePoint thông qua MSGraph API

.

Trong nỗ lực che giấu nguồn gốc các hoạt động độc hại của mình, Silk Typhoon dựa vào một “Mạng lưới Bí mật” bao gồm các thiết bị Cyberoam, bộ định tuyến Zyxel và thiết bị QNAP bị xâm nhập, một dấu hiệu đặc trưng của một số tác nhân được nhà nước Trung Quốc bảo trợ. Microsoft cho biết: “Trong các hoạt động gần đây và việc khai thác các thiết bị này trong lịch sử, Silk Typhoon đã sử dụng nhiều web shell khác nhau để duy trì sự hiện diện và cho phép các tác nhân truy cập từ xa vào môi trường của nạn nhân”

.Security365