Von China unterstützte Hacker, die hinter dem Einbruch ins US-Finanzministerium stecken, zielen nun auf globale IT-Lieferketten ab

Von Mura in Computersicherheit

Übersetzen Sie in:

In den laufenden Cyber-Spionagekampagnen von Silk Typhoon, einer von der chinesischen Regierung unterstützten Hackergruppe, die kürzlich mit dem Datendiebstahl im US-Finanzministerium in Verbindung gebracht wurde, hat sich ein gefährliches neues Kapitel geöffnet. Das Threat Intelligence Team von Microsoft hat eine eindringliche Warnung herausgegeben und enthüllt, dass Silk Typhoon nun aktiv die globale IT-Lieferkette ausnutzt, um Unternehmen zu infiltrieren, Überwachungen durchzuführen und vertrauliche Daten zu stehlen.

Diese jüngste Aktivität markiert eine besorgniserregende Änderung in der Taktik von Silk Typhoon. Anstatt gut geschützte Cloud-Plattformen direkt anzugreifen, richtet die Gruppe ihre Aufmerksamkeit auf IT-Dienstleister, Fernüberwachungs- und -verwaltungsfirmen sowie Managed Service Provider (MSPs) – genau die Unternehmen, die für die Sicherung und Wartung von Unternehmensnetzwerken weltweit verantwortlich sind.

Inhaltsverzeichnis

Wie Silk Typhoon über die IT-Lieferkette infiltriert

Microsofts Forscher haben herausgefunden, dass Silk Typhoon gestohlene API-Schlüssel, kompromittierte Anmeldeinformationen und privilegierten Zugriff nutzt, um unbemerkt in die IT-Unternehmen einzudringen. Sobald die Angreifer erst einmal im System sind, können sie ihren Einfluss auf nachgelagerte Kundenumgebungen ausdehnen und so zahllose Organisationen gefährden.

Diese Angriffe sind mehr als nur opportunistisch . Silk Typhoon zeigt ein umfassendes Verständnis für hybride Umgebungen und navigiert gekonnt sowohl durch die Infrastruktur vor Ort als auch durch Cloud-Dienste. Microsoft hat beobachtet, wie die Gruppe legitime Tools wie Entra Connect (ehemals AADConnect) nutzte, um Berechtigungen zu erhöhen und langfristigen Zugriff aufrechtzuerhalten.

Über diese Einstiegspunkte führt Silk Typhoon Folgendes durch:

Umfangreiche Aufklärung zur Kartierung interner Systeme
Laterale Bewegung über Netzwerke hinweg
Datenexfiltration aus E-Mails, Dateifreigaben und Cloud-Speicher
Dauerhafter Zugriff über Webshells und OAuth-Anwendungen

Ohne starke Abwehrkräfte ist niemand sicher

Microsoft warnt, dass selbst Organisationen, die nicht direkt zum Ziel von Angriffen werden, durch ihre IT-Anbieter Kollateralschaden erleiden könnten. Wenn Ihr Unternehmen auf gemeinsam genutzte IT-Dienste, schwaches Anmeldeinformationsmanagement oder veraltete Software angewiesen ist, sind Sie möglicherweise bereits gefährdet.

In der Vergangenheit konnte Silk Typhoon erfolgreich in eine Vielzahl von Produkten eindringen, darunter Microsoft Exchange-Server, VPN-Geräte und Firewalls. Die Gruppe steckte hinter dem Hack des US-Finanzministeriums, wo sie Büros ausspionierte, die mit ausländischen Investitionen und Sanktionen befasst waren, und Schwachstellen in Software wie BeyondTrust und PostgreSQL ausnutzte.

Fortgeschrittene Taktiken von Silk Typhoon

Die jüngsten Kampagnen von Silk Typhoon zeigen, wie ausgefeilt diese Angriffe sind. Laut Microsoft wurde die Gruppe bei der Verwendung folgender Angriffe beobachtet:

Password-Spray-Angriffe und Aufklärung zum Aufdecken wiederverwendeter Unternehmenspasswörter in öffentlichen Repositorien wie GitHub
Kompromittierte OAuth-Anwendungen mit umfassenden Berechtigungen zum Stehlen von E-Mails, OneDrive-Dateien und SharePoint-Daten über MSGraph
Kompromittierungen bei Multi-Tenant-Anwendungen, die es ihnen ermöglichen, zwischen Cloud-Umgebungen zu wechseln und auf vertrauliche Ressourcen in verschiedenen Organisationen zuzugreifen
Missbrauch der Exchange Web Services (EWS)-API zum Exfiltrieren von E-Mail-Kommunikation

Was diese Angriffe besonders gefährlich macht, ist die Fähigkeit von Silk Typhoon, Anwendungen zu kapern, die bereits über die Zustimmung des Benutzers verfügen, sodass ihre bösartigen Aktivitäten in den normalen Betrieb integriert werden.

Die wachsende Bedrohung durch den Seidentaifun

Microsoft bezeichnet Silk Typhoon als eine der weltweit expandierendsten chinesischen Bedrohungsgruppen . Mit ihrem starken Rückhalt und den Ressourcen, um Zero-Day-Schwachstellen schnell auszunutzen, stellen sie eine erhebliche Bedrohung für alle Sektoren dar, darunter staatliche und lokale Behörden, Finanzinstitute und IT-Dienstleister.

So schützen Sie Ihr Unternehmen

Angesichts dieser Entwicklungen fordert Microsoft Organisationen dazu auf:

Überprüfen Sie API-Schlüssel und OAuth-Anwendungen, um sicherzustellen, dass kein verdächtiger oder überprivilegierter Zugriff erfolgt.
Setzen Sie eine strenge Anmeldeinformationshygiene durch, einschließlich regelmäßiger Kennwortänderungen und Multi-Faktor-Authentifizierung (MFA).

Patchen Sie alle Systeme umgehend, insbesondere Software, die häufig Ziel von Advanced Persistent Threats (APTs) ist.

Achten Sie auf ungewöhnliche Zugriffsmuster, insbesondere bei Dienstkonten und Cloud-Anwendungen

Dass Cyberspionage gezielt auf IT-Lieferketten abzielt, beweist, dass Cyberspionage nicht mehr nur ein Risiko für hochrangige Regierungsstellen darstellt. Heute muss sich jede Organisation, die auf gemeinsam genutzte Infrastruktur oder Drittanbieter angewiesen ist, als potenzielles Ziel betrachten.

Wachsamkeit in Sachen Cybersicherheit ist nicht länger optional – sie ist die einzige Verteidigung gegen Gegner wie Silk Typhoon, die immer nur einen Schritt von Ihren sensibelsten Daten entfernt sind.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern