O “Silk Typhoon”, grupo hacker espião da China anteriormente conhecido como “Hafnium”, está mudando de tática e focando em ataques de cadeia de suprimentos (supply chain attacks).
Agora, o grupo está mirando soluções comuns de TI como ferramentas de gerenciamento remoto e aplicações em nuvem para ganhar acesso inicial, revela o último relatório do Microsoft Threat Intelligence.
Os pesquisadores afirmam que estão monitorando o Silk Typhoon de perto desde 2024 e que observaram um padrão nas atividades recentes: a mira está principalmente em governos e companhias de TI.
Entenda o modus operandi do grupo
Os hackers utilizam chaves de API roubadas para acessar dados dos clientes das companhias comprometidas e fazer o reconhecimento e a coleta de dados através da conta do administrador. Eles também implementam scripts maliciosos, criam usuários adicionais e limpam os logs depois de concluir suas ações.
O Silk Typhoon também foi visto espionando organizações com ataques de password spraying (tentar uma mesma senha de uso comum em diferentes contas do usuário), aproveitando senhas corporativas vazadas em repositórios públicos como o GitHub.
De acordo com a Microsoft, o grupo geralmente ataca as vítimas com explorações de dia zero, serviços terceirizados vulneráveis/provedores de software e credenciais comprometidas.
Depois de atacar as companhias, os cibercriminosos migram da infraestrutura local para o ambiente de nuvem. Eles visam comprometer o Active Directory, roubar senhas e escalar privilégios.
A Microsoft também identificou o Silk Typhoo explorando service principals e aplicativos OAuth com permissões administrativas para executar e-mail, OneDrive e exfiltração de dados do SharePoint via Microsoft Graph.
“Ao longo do uso dessa técnica, o Silk Typhoon foi visto obtendo acesso a um aplicativo já autorizado para coletar dados de e-mail e adicionar suas próprias senhas ao aplicativo. Usando esse acesso, os atores podem roubar informações de e-mail por meio da API do MSGraph”, diz o relatório.
Vale destacar que o Silk Typhoon é mais conhecido pelo vazamento de dados do Microsoft Exchange Server em 2021, que gerou ataques contra milhares de companhias. Mais recentemente, em março de 2024, o grupo usou uma exploração de dia zero no GlobalProtect Gateway dos firewalls da Palo Alto Networks, comprometendo múltiplas organizações.
Com informações de: The Hacker News
Imagem: Freepik
