Microsoft предупреждает, что хакерская группа Silk Typhoon теперь атакует облачные сервисы и инструменты удаленного управления, получая доступ к клиентским данным через цепочку поставок. Подтверждены взломы в госструктурах, ИТ-секторе, здравоохранении, обороне, образовании и энергетике.
«Они используют не обновленные приложения, чтобы повышать уровень доступа и проводить вредоносные операции», — сообщает Microsoft.
Silk Typhoon и атаки на облачные сервисы
Silk Typhoon, связанная с Китаем, в декабре 2024 года взломала Управление по контролю за иностранными активами США (OFAC) и похитила данные Комитета по иностранным инвестициям (CFIUS).
С этого времени группа сменила подход: использует украденные API-ключи и скомпрометированные учетные данные ИТ-провайдеров для доступа к сетям клиентов. Хакеры находят утекшие ключи на GitHub и используют атаки методом подбора паролей.
Ранее Silk Typhoon эксплуатировала уязвимости нулевого дня в сетевых устройствах для проникновения в сети. Теперь же атакует поставщиков услуг (MSP), используя облачные сервисы для кражи данных и удаления следов.
Опасность для ИТ-компаний
ИТ-компании находятся в зоне повышенного риска, так как взлом одного провайдера открывает злоумышленникам доступ к его клиентам. Атаки на цепочку поставок угрожают сразу множеству организаций, включая облачные платформы, провайдеров управляемых услуг (MSP) и сервисы удаленного администрирования.
Новые уязвимости и скрытая сеть атак
Группа продолжает эксплуатировать уязвимости, включая недавнюю брешь в Ivanti Pulse Connect VPN (CVE-2025-0282). В 2024 году использовались уязвимости в Palo Alto Networks GlobalProtect (CVE-2024-3400) и Citrix NetScaler (CVE-2023-3519).
Silk Typhoon также создала сеть «CovertNetwork» из взломанных устройств Cyberoam, Zyxel и QNAP для маскировки атак.
Microsoft обновила индикаторы компрометации и рекомендует специалистам по безопасности внести их в системы защиты для своевременного обнаружения атак.
Китайская ИИ-платформа DeepSeek пострадала из-за масштабной кибератаки
