Silk Typhoon’un Yeni Hedefleri
Microsoft’un tehdit istihbarat ekibi, ABD Hazine Bakanlığı’na yapılan saldırılarla bağlantılı olan Çin destekli Silk Typhoon grubunun yeni stratejiler geliştirdiğini duyurdu. Grup, büyük hedefler yerine BT tedarik zincirindeki şirketleri hedef alarak saldırılarını genişletiyor.
API Anahtarları ve Kimlik Bilgileriyle Saldırı
Microsoft’a göre saldırganlar, çalınan API anahtarları ve ele geçirilen kimlik bilgileriyle BT hizmet sağlayıcılarını ele geçiriyor. Buradan alt müşteri sistemlerine sızarak birçok kuruluşu etkiliyorlar. Silk Typhoon, ağ keşifleri yaparak hassas verilere ulaşıyor ve sistem içinde fark edilmeden ilerliyor.
Silk Typhoon’un Kullandığı Yöntemler
Araştırmalara göre grup, şirket içi ve bulut altyapıları hakkında detaylı bilgiye sahip. Microsoft’un Entra Connect gibi araçlarını kullanarak yetkilerini artırıyor. Bu saldırılar doğrudan Microsoft’u hedef almıyor, ancak BT tedarik zincirine yönelik yeni strateji güvenlik önlemleri yetersiz olan şirketler için büyük bir tehdit oluşturuyor. Yönetilen hizmet sağlayıcıları ve uzaktan izleme yönetim şirketleri en büyük risk grubunda bulunuyor.
ABD Hazine Saldırısı ve Silk Typhoon’un Geçmişi
Silk Typhoon, daha önce Microsoft Exchange sunucularına, VPN sistemlerine ve güvenlik duvarlarına saldırılar düzenledi. ABD Hazine Bakanlığı saldırısında, BeyondTrust ve PostgreSQL yazılımlarındaki güvenlik açıklarını kullanarak kritik ofisleri gözetledi. Son saldırılarında API anahtarlarını kötüye kullanarak yetkilerini artıran grup, eyalet yönetimlerini, BT hizmetlerini ve finans sektörünü hedef aldı. Microsoft, Silk Typhoon’un geniş bir hedef yelpazesine sahip olduğunu ve sıfırıncı gün açıklarını hızla kullanabildiğini belirtti.
Veri Sızıntısı ve Kimlik Doğrulama Açıkları
Silk Typhoon, bulut sistemlerini etkili bir şekilde kullanarak veri sızdırıyor. Microsoft’un analizlerine göre saldırganlar, parola spreyi saldırıları, GitHub gibi platformlarda sızdırılan şifreleri kullanma ve parola keşfetme yöntemleriyle sistemlere erişiyor. Zayıf parola yönetimi, kurumsal sistemlerin saldırıya açık hale gelmesine neden oluyor.
Grup, yönetici izinlerine sahip hizmet hesaplarını ve OAuth uygulamalarını kullanarak MSGraph API aracılığıyla e-posta, OneDrive ve SharePoint verilerini ele geçiriyor. Kiracı erişimlerini manipüle ederek Exchange Web Services (EWS) API üzerinden e-postalara ulaşıyor. Ayrıca, kimlik doğrulama süreçlerindeki açıkları kullanarak sistemlere giriş sağlıyor.
Microsoft’un Güvenlik Önerileri
Microsoft, Silk Typhoon’un gelişmiş saldırı tekniklerine karşı şirketleri uyarıyor. Güçlü şifre politikalarının uygulanması, çok faktörlü kimlik doğrulamanın (MFA) kullanılması ve güvenlik yamalarının düzenli olarak güncellenmesi büyük önem taşıyor. Yönetilen hizmet sağlayıcıları ve bulut tabanlı sistemleri kullanan kuruluşlar, API erişimlerini ve kimlik doğrulama süreçlerini sıkılaştırmalı. Microsoft, tehdidi kontrol altına almak için güvenlik topluluklarıyla iş birliği yaparak savunma stratejilerini geliştirmeye devam edeceğini açıkladı.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment