Murky Panda: Chinesische Hackergruppe nutzt Cloud-Vertrauen für Angriffe

LONDON (IT BOLTWISE) – Die chinesische Hackergruppe Murky Panda, auch bekannt als Silk Typhoon, nutzt das Vertrauen in Cloud-Umgebungen, um Zugang zu Netzwerken und Daten von Kunden zu erlangen. Diese Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar, die auf Cloud-Dienste angewiesen sind, da die Hacker die privilegierten Zugänge der Cloud-Anbieter ausnutzen.

Die chinesische Hackergruppe Murky Panda, auch bekannt als Silk Typhoon, hat sich auf die Ausnutzung von Vertrauensverhältnissen in Cloud-Umgebungen spezialisiert, um Zugang zu den Netzwerken und Daten von Kunden zu erlangen. Diese Gruppe, die auch unter den Namen Hafnium bekannt ist, hat sich auf Angriffe gegen Regierungs-, Technologie-, akademische, juristische und professionelle Dienstleistungsorganisationen in Nordamerika konzentriert.

Murky Panda ist berüchtigt für seine Beteiligung an zahlreichen Cyber-Spionage-Kampagnen, darunter die Microsoft Exchange-Angriffe im Jahr 2021, bei denen die ProxyLogon-Sicherheitslücke ausgenutzt wurde. Zu den jüngsten Angriffen gehören solche auf das US-Finanzministerium und den Ausschuss für ausländische Investitionen.

Im März berichtete Microsoft, dass Silk Typhoon begonnen hat, Fernverwaltungstools und Cloud-Dienste in Lieferkettenangriffen zu nutzen, um Zugang zu den Netzwerken von Kunden zu erhalten. Diese Angriffe nutzen oft Schwachstellen in internetexponierten Geräten und Diensten aus, wie die CVE-2023-3519-Schwachstelle in Citrix NetScaler-Geräten und ProxyLogin in Microsoft Exchange.

Ein neuer Bericht von CrowdStrike zeigt, dass die Angreifer auch Cloud-Dienstleister kompromittieren, um das Vertrauen dieser Unternehmen zu missbrauchen. Da Cloud-Anbieter oft über eingebaute administrative Zugänge zu Kundenumgebungen verfügen, können Angreifer, die diese Anbieter kompromittieren, direkt in die Netzwerke und Daten der Kunden eindringen.

In einem Fall nutzten die Hacker Zero-Day-Schwachstellen aus, um in die Cloud-Umgebung eines SaaS-Anbieters einzudringen. Sie erhielten Zugang zu den Anwendungsregistrierungsgeheimnissen des Anbieters in Entra ID, was ihnen erlaubte, sich als Dienst zu authentifizieren und in die Umgebungen der Kunden einzuloggen. Mit diesem Zugang konnten sie die E-Mails der Kunden lesen und sensible Daten stehlen.

In einem weiteren Angriff kompromittierte Murky Panda einen Microsoft-Cloud-Lösungsanbieter mit delegierten administrativen Privilegien. Durch die Kompromittierung eines Kontos in der Admin-Agent-Gruppe erhielten die Angreifer globale Administratorrechte über alle nachgelagerten Mandanten. Sie erstellten dann Hintertürkonten in Kundenumgebungen und eskalierten die Privilegien, was ihnen dauerhaften Zugang und die Möglichkeit gab, E-Mails und Anwendungsdaten zu lesen.

CrowdStrike betont, dass Verstöße über Vertrauensverhältnisse selten sind, aber weniger überwacht werden als häufigere Vektoren wie der Diebstahl von Anmeldedaten. Durch die Ausnutzung dieser Vertrauensmodelle kann Murky Panda leichter in legitimen Datenverkehr und Aktivitäten untertauchen, um über längere Zeiträume unbemerkt zu bleiben.

Zusätzlich zu ihren cloudfokussierten Einbrüchen verwendet Murky Panda eine Vielzahl von Tools und maßgeschneiderter Malware, um den Zugang aufrechtzuerhalten und die Erkennung zu umgehen. Die Angreifer setzen häufig die Open-Source-Web-Shell Neo-reGeorg und die China Chopper-Web-Shells ein, die beide weitgehend mit chinesischen Spionageakteuren in Verbindung gebracht werden, um die Persistenz auf kompromittierten Servern zu etablieren.

Die Gruppe hat auch Zugang zu einem maßgeschneiderten Linux-basierten Remote-Access-Trojaner (RAT) namens CloudedHope, der es ihnen ermöglicht, die Kontrolle über infizierte Geräte zu übernehmen und sich weiter im Netzwerk auszubreiten. Murky Panda zeigt auch starke operationale Sicherheit (OPSEC), einschließlich der Änderung von Zeitstempeln und des Löschens von Protokollen, um die forensische Analyse zu erschweren.

Die Gruppe ist auch dafür bekannt, kompromittierte Small Office und Home Office (SOHO)-Geräte als Proxy-Server zu verwenden, was es ihnen ermöglicht, Angriffe durchzuführen, als ob sie sich innerhalb der Infrastruktur eines Ziellandes befinden. Dies ermöglicht es ihrem bösartigen Datenverkehr, sich mit normalem Datenverkehr zu vermischen und der Erkennung zu entgehen.

CrowdStrike warnt, dass Murky Panda/Silk Typhoon ein hochentwickelter Gegner mit fortgeschrittenen Fähigkeiten ist und in der Lage ist, sowohl Zero-Day- als auch N-Day-Schwachstellen schnell zu nutzen. Der Missbrauch von vertrauenswürdigen Cloud-Beziehungen stellt ein erhebliches Risiko für Organisationen dar, die SaaS- und Cloud-Anbieter nutzen.

Um sich gegen Murky Panda-Angriffe zu verteidigen, empfiehlt CrowdStrike, dass Organisationen ungewöhnliche Anmeldungen von Entra ID-Dienstprinzipalen überwachen, Multi-Faktor-Authentifizierung für Cloud-Anbieter-Konten erzwingen, Entra ID-Protokolle überwachen und cloudorientierte Infrastruktur umgehend patchen.

„MURKY PANDA stellt eine erhebliche Bedrohung für Regierungs-, Technologie-, Rechts- und professionelle Dienstleistungsunternehmen in Nordamerika und für deren Lieferanten mit Zugang zu sensiblen Informationen dar“, schließt CrowdStrike. „Organisationen, die stark auf Cloud-Umgebungen angewiesen sind, sind von Natur aus anfällig für Kompromisse in vertrauenswürdigen Beziehungen in der Cloud. China-nexus-Gegner wie MURKY PANDA nutzen weiterhin ausgeklügelte Handwerkskunst, um ihre Spionageoperationen zu erleichtern und zahlreiche Sektoren weltweit anzugreifen.“

Bestseller Nr. 1 - «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 - «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 - «KI Gadgets»

PLAUD Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 - «KI Gadgets»

KI-Sprachrekorder, PLAUD NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 - «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

79,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!