MÜNCHEN (IT BOLTWISE) – Die Bedrohung durch den China-verbundenen Akteur Silk Typhoon, der bereits 2021 durch die Ausnutzung von Sicherheitslücken in Microsoft Exchange Servern bekannt wurde, hat sich nun auf IT-Lieferketten ausgeweitet. Diese Entwicklung stellt eine neue Dimension in der Cyberkriminalität dar, die Unternehmen weltweit betrifft.
Die jüngsten Erkenntnisse der Microsoft Threat Intelligence zeigen, dass die Hackergruppe Silk Typhoon, ehemals bekannt als Hafnium, ihre Taktiken geändert hat, um über IT-Lieferketten Zugang zu Unternehmensnetzwerken zu erhalten. Diese Gruppe nutzt nun IT-Lösungen wie Fernverwaltungstools und Cloud-Anwendungen, um sich Zugang zu verschaffen. Nach erfolgreicher Kompromittierung eines Opfers verwendet Silk Typhoon gestohlene Schlüssel und Anmeldedaten, um Kundennetzwerke zu infiltrieren und eine Vielzahl von Anwendungen, einschließlich Microsoft-Diensten, zu missbrauchen, um ihre Spionageziele zu erreichen.
Die Gruppe wird als gut ausgestattet und technisch effizient eingeschätzt und nutzt schnell Zero-Day-Schwachstellen in Edge-Geräten für opportunistische Angriffe, die es ihnen ermöglichen, ihre Angriffe in großem Maßstab und über eine Vielzahl von Sektoren und Regionen hinweg zu skalieren. Dazu gehören IT-Dienstleistungen und -Infrastruktur, Fernüberwachungs- und Managementunternehmen, Managed Service Provider (MSPs) und deren Partner, Gesundheitswesen, Rechtsdienstleistungen, Hochschulbildung, Verteidigung, Regierung, Nichtregierungsorganisationen (NGOs), Energie und andere in den USA und weltweit.
Silk Typhoon wurde auch dabei beobachtet, verschiedene Web-Shells zu verwenden, um Befehlsausführung, Persistenz und Datenexfiltration aus den Umgebungen der Opfer zu erreichen. Die Gruppe hat ein tiefes Verständnis für Cloud-Infrastrukturen gezeigt, was es ihr weiter ermöglicht, sich lateral zu bewegen und interessante Daten zu sammeln. Seit mindestens Ende 2024 sind die Angreifer mit einer neuen Reihe von Methoden verbunden, bei denen gestohlene API-Schlüssel und Anmeldedaten von Privilegierten Zugriffsmanagement (PAM), Cloud-App-Anbietern und Cloud-Datenmanagementunternehmen missbraucht werden, um Lieferkettenkompromisse bei nachgelagerten Kunden durchzuführen.
Microsoft berichtet, dass der Akteur durch den Zugriff über den API-Schlüssel Aufklärung und Datensammlung auf den Zielgeräten über ein Administratorkonto durchgeführt hat. Die Ziele dieser Aktivitäten umfassten hauptsächlich staatliche und lokale Regierungen sowie den IT-Sektor. Zu den weiteren Zugangswegen, die Silk Typhoon nutzt, gehört die Zero-Day-Ausnutzung einer Sicherheitslücke in Ivanti Pulse Connect VPN (CVE-2025-0282) und der Einsatz von Passwort-Spray-Angriffen mit Unternehmensanmeldedaten, die aus geleakten Passwörtern in öffentlichen Repositories auf GitHub und anderen stammen.
Der Bedrohungsakteur hat auch eine Zero-Day-Schwachstelle ausgenutzt, darunter CVE-2024-3400, eine Befehlsinjektionslücke in Palo Alto Networks Firewalls, CVE-2023-3519, eine nicht authentifizierte Remote-Code-Ausführung (RCE) Schwachstelle, die Citrix NetScaler Application Delivery Controller (ADC) und NetScaler Gateway betrifft, sowie eine Reihe von Schwachstellen, die Microsoft Exchange Server betreffen. Ein erfolgreicher anfänglicher Zugriff wird gefolgt von Schritten des Bedrohungsakteurs, sich lateral von On-Premises-Umgebungen zu Cloud-Umgebungen zu bewegen und OAuth-Anwendungen mit administrativen Berechtigungen zu nutzen, um E-Mail-, OneDrive- und SharePoint-Daten über die MSGraph-API zu exfiltrieren.
Um den Ursprung ihrer bösartigen Aktivitäten zu verschleiern, verlässt sich Silk Typhoon auf ein “CovertNetwork”, das aus kompromittierten Cyberoam-Geräten, Zyxel-Routern und QNAP-Geräten besteht, ein Markenzeichen mehrerer chinesischer staatlich geförderter Akteure. Microsoft berichtet, dass Silk Typhoon während jüngster Aktivitäten und historischer Ausnutzung dieser Geräte eine Vielzahl von Web-Shells genutzt hat, um Persistenz aufrechtzuerhalten und den Akteuren den Fernzugriff auf die Umgebungen der Opfer zu ermöglichen.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent für den Tribe Contact Center & Conversational AI (m/w/d)
Content Manager mit Schwerpunkt KI-Entwicklung (m/w/d)
Werkstudent Founders Associate – Strategy & AI Projects (m/w/d)
Werkstudent KI-Agenten & Automatisierung (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Silk Typhoon erweitert Cyberangriffe auf IT-Lieferketten" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Silk Typhoon erweitert Cyberangriffe auf IT-Lieferketten" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Silk Typhoon erweitert Cyberangriffe auf IT-Lieferketten« bei Google Deutschland suchen und bei Google News recherchieren!