حملات Murky Panda: زنجیره اعتماد در فضای ابری به خطر افتاد!

گروه هکری تحت حمایت دولت چین، معروف به Murky Panda (یا Silk Typhoon و Hafnium)، از روابط قابل اعتماد در محیط‌های ابری برای دسترسی اولیه به شبکه‌ها و داده‌های مشتریان سوءاستفاده می‌کند.

Murky Panda که به هدف قرار دادن سازمان‌های دولتی، فناوری، دانشگاهی، حقوقی و خدماتی حرفه‌ای در آمریکای شمالی شناخته شده، در کمپین‌های جاسوسی سایبری متعددی، از جمله نقض‌های Microsoft Exchange در سال ۲۰۲۱ با سوءاستفاده از آسیب‌پذیری ProxyLogon، نقش داشته است. حملات اخیر شامل نفوذ به دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا (OFAC) و کمیته سرمایه‌گذاری خارجی بوده است. طبق گزارش مایکروسافت در ماه مارس، Silk Typhoon ابزارهای مدیریت از راه دور و خدمات ابری را در حملات زنجیره تأمین هدف قرار داده تا به شبکه‌های مشتریان پایین‌دستی دسترسی یابد.

سوءاستفاده از روابط قابل اعتماد ابری

Murky Panda معمولا با سوءاستفاده از دستگاه‌ها و خدمات درسطح اینترنت، مانند آسیب‌پذیری CVE-2023-3519 در دستگاه‌های Citrix NetScaler، ProxyLogon در Microsoft Exchange و CVE-2025-0282 در Ivanti Pulse Connect VPN، به شبکه‌های سازمانی نفوذ می‌کند.

گزارش جدید CrowdStrike نشان می‌دهد که این گروه همچنین ارائه‌دهندگان خدمات ابری را به خطر می‌اندازد تا از اعتماد این شرکت‌ها به مشتریانشان سوءاستفاده کند. با توجه به دسترسی مدیریتی داخلی برخی ارائه‌دهندگان ابری به محیط‌های مشتریان، مهاجمان می‌توانند مستقیما به شبکه‌ها و داده‌های مشتریان نفوذ کنند.

در یک مورد، هکرها با سوءاستفاده از آسیب‌پذیری‌های روز صفر به محیط ابری یک ارائه‌دهنده SaaS نفوذ کردند و registration secret برنامه در Entra ID را به دست آوردند، که به آن‌ها امکان احراز هویت به‌عنوان سرویس و ورود به محیط‌های مشتریان را داد. این دسترسی به خواندن ایمیل‌ها و سرقت داده‌های حساس منجر شد.

در حمله‌ای دیگر، Murky Panda یک ارائه‌دهنده راهکار ابری مایکروسافت با امتیازات مدیریتی واگذارشده (DAP) را به خطر انداخت. با نفوذ به حساب گروه Admin Agent، مهاجمان حقوق مدیریت کلان در تمام مستأجران را به دست آوردند و حساب‌های مخفی(بک‌دور) ایجاد کردند که امکان پایداری و دسترسی به داده‌های ایمیل و برنامه‌ها را فراهم کرد.

CrowdStrike تأکید می‌کند که این نوع نفوذ از طریق روابط قابل اعتماد نادر است؛ اما کمتر از روش‌های رایج مانند سرقت اطلاعات ورود نظارت می‌شود. این روش به Murky Panda امکان می‌دهد با ترافیک و فعالیت‌های قانونی ترکیب شود و دسترسی مخفیانه را برای مدت طولانی حفظ کند.

علاوه بر نفوذهای ابری، Murky Panda از ابزارها و بدافزارهای سفارشی مانند وب‌شل‌های متن‌باز Neo-reGeorg و China Chopper، که با جاسوسان چینی مرتبط‌اند، برای پایداری در سرورهای به خطر افتاده استفاده می‌کند. این گروه همچنین از یک تروجان دسترسی از راه دور مبتنی بر لینوکس به نام CloudedHope برای کنترل دستگاه‌های آلوده و گسترش در شبکه بهره می‌برد.

Murky Panda با تغییر زمان‌بندی‌ها و حذف لاگ‌ها برای جلوگیری از تحلیل قانونی، امنیت عملیاتی (OPSEC)قوی نشان می‌دهد. این گروه همچنین از دستگاه‌های کوچک خانگی و اداری (SOHO) به‌عنوان سرورهای پروکسی استفاده می‌کند تا حملات را از زیرساخت‌های کشور هدف انجام دهد و ترافیک مخرب را با ترافیک عادی مخلوط کند.

هشدار و توصیه‌های امنیتی

CrowdStrike هشدار می‌دهد که Murky Panda/Silk Typhoon دشمنی پیچیده با مهارت‌های پیشرفته و توانایی سوءاستفاده سریع از آسیب‌پذیری‌های روز صفر و غیرروز صفر است. سوءاستفاده آن‌ها از روابط قابل اعتماد ابری، خطر قابل توجهی برای سازمان‌هایی که از خدمات SaaS و ابری استفاده می‌کنند، ایجاد می‌کند.

برای دفاع در برابر حملات Murky Panda، CrowdStrike توصیه می‌کند که سازمان‌ها ورودهای غیرعادی سرویس‌های اصلی در Entra ID را نظارت کنند، احراز هویت چندمرحله‌ای را برای حساب‌های ارائه‌دهندگان ابری اعمال کنند، لاگ‌های Entra ID را بررسی کنند و زیرساخت‌های رو به ابر را به‌سرعت پچ کنند.

منابع: