2024 के अंत से, रेशम टाइफून को आईटी प्रदाताओं, प्रबंधित सेवा प्रदाताओं (एमएसपी), और क्लाउड डेटा प्रबंधन फर्मों में घुसपैठ करने के लिए चोरी की चाबियों और क्रेडेंशियल्स का लाभ उठाया गया है
और पढ़ें
चीनी राज्य-प्रायोजित साइबर जासूसी समूह सिल्क टाइफून ने अमेरिकी सरकारी एजेंसियों, व्यवसायों और महत्वपूर्ण बुनियादी ढांचे को लक्षित करने के लिए अपनी रणनीति विकसित की है।
शून्य-दिन की कमजोरियों का शोषण करने के लिए जाने जाने वाले समूह ने क्लाउड-आधारित हमलों और आपूर्ति श्रृंखला समझौते पर अपना ध्यान केंद्रित किया है, अपने संचालन में बढ़ते परिष्कार का प्रदर्शन किया है।
2024 के अंत से, रेशम टाइफून को आईटी प्रदाताओं, प्रबंधित सेवा प्रदाताओं (एमएसपी), और क्लाउड डेटा प्रबंधन फर्मों में घुसपैठ करने के लिए चोरी की चाबियों और क्रेडेंशियल्स का लाभ उठाया गया है।
इस एक्सेस ने समूह को नीचे की ओर ग्राहक वातावरण में स्थानांतरित करने में सक्षम बनाया है, अमेरिकी सरकार की नीति, कानूनी दस्तावेजों और कानून प्रवर्तन जांच पर डेटा संग्रह का संचालन किया है, ए के अनुसार
Microsoft खतरा खुफिया रिपोर्ट।
क्लाउड नेटवर्क पर बढ़ते हमले
हाल के निष्कर्षों से संकेत मिलता है कि रेशम टाइफून ने माइक्रोसॉफ्ट के एंट्रा आईडी (पूर्व में एज़्योर एडी) और विशेषाधिकार प्राप्त एक्सेस मैनेजमेंट सिस्टम को लक्षित करते हुए, ऑन-प्रिमाइसेस ब्रीच से क्लाउड वातावरण में पिवट करने की अपनी क्षमता में सुधार किया है।
समूह को सक्रिय निर्देशिका से क्रेडेंशियल्स चोरी करते हुए देखा गया है, संवेदनशील ईमेल निकालने के लिए सेवा प्रिंसिपलों और OAUTH अनुप्रयोगों में हेरफेर किया गया है, और यहां तक कि लंबे समय तक पहुंच बनाए रखने के लिए समझौता किए गए क्लाउड वातावरण के भीतर भ्रामक अनुप्रयोगों का निर्माण किया गया है।
जनवरी 2025 में, समूह ने इवांती पल्स कनेक्ट वीपीएन (सीवीई -2025-0282) में एक शून्य-दिन की भेद्यता का शोषण किया, एक महत्वपूर्ण दोष जिसने उन्हें कॉर्पोरेट और सरकारी नेटवर्क को तोड़ने की अनुमति दी। Microsoft ने इवंती को गतिविधि की सूचना दी, जिससे एक तेजी से पैच हो गया, लेकिन हमले में दिखाया गया कि कई संगठनों की तुलना में तेजी से कारनामों को संचालित करने के लिए रेशम टाइफून की क्षमता का जवाब दिया जा सकता है।
पासवर्ड हमलों के माध्यम से घुसपैठ नेटवर्क
सॉफ्टवेयर कमजोरियों का शोषण करने से परे, सिल्क टाइफून ने पासवर्ड स्प्रे करने और अनधिकृत पहुंच प्राप्त करने के लिए GitHub जैसे सार्वजनिक रिपॉजिटरी से कॉर्पोरेट क्रेडेंशियल्स का उपयोग करके पासवर्ड-आधारित हमलों को तीव्र किया है। समूह ने पीड़ित वातावरण के भीतर दृढ़ता बनाए रखने के लिए समझौता एपीआई कुंजियों और प्रत्यारोपित वेब शेल के माध्यम से व्यवस्थापक खातों को भी रीसेट किया है।
गुप्त नेटवर्क का उपयोग
अपनी गतिविधियों को मुखौटा करने के लिए, साइबरोअम फ़ायरवॉल, Zyxel राउटर और QNAP भंडारण उपकरणों सहित समझौता किए गए उपकरणों के एक गुप्त नेटवर्क का उपयोग करके रेशम टाइफून देखा गया है। ये डिवाइस सिल्क टाइफून के संचालन के लिए इग्रेस पॉइंट्स के रूप में कार्य करते हैं, जिससे साइबर सुरक्षा डिफेंस द्वारा समूह का पता लगाने में मदद मिलती है।