Группировка Murky Panda, известная также как Silk Typhoon и Hafnium, вышла на новый уровень кибершпионажа:
Вместо прямого взлома компаний злоумышленники атакуют облачных провайдеров и через доверительные связи получают доступ к данным их клиентов.
По данным CrowdStrike, хакеры эксплуатируют уязвимости в Citrix NetScaler, Microsoft Exchange и VPN-решениях Ivanti, а затем закрепляются в инфраструктуре SaaS-поставщиков.
В одном случае они похитили ключи авторизации Entra ID и получили возможность входить в клиентские окружения как легитимный сервис. В другом — использовали административные привилегии облачного партнёра Microsoft, чтобы создать бэкдорные аккаунты у десятков компаний сразу.
Главная угроза в том, что атаки маскируются под обычный сетевой трафик: администраторы часто не отслеживают доверительные соединения так же строго, как прямые попытки компрометации. Это позволяет Murky Panda месяцами читать корпоративную почту, выкачивать документы и незаметно закрепляться в инфраструктуре жертв. Для сохранения контроля группа использует веб-шеллы Neo-reGeorg и China Chopper, а также собственный Linux-троян CloudedHope.
Эксперты предупреждают: пока организации доверяют облачным провайдерам «административный ключ от квартиры», Murky Panda будет использовать эти доверительные модели в свою пользу. CrowdStrike рекомендует компаниям ужесточить мониторинг Entra ID, включить многофакторную аутентификацию для всех облачных аккаунтов и оперативно закрывать уязвимости.
Вместо прямого взлома компаний злоумышленники атакуют облачных провайдеров и через доверительные связи получают доступ к данным их клиентов.
По данным CrowdStrike, хакеры эксплуатируют уязвимости в Citrix NetScaler, Microsoft Exchange и VPN-решениях Ivanti, а затем закрепляются в инфраструктуре SaaS-поставщиков.
В одном случае они похитили ключи авторизации Entra ID и получили возможность входить в клиентские окружения как легитимный сервис. В другом — использовали административные привилегии облачного партнёра Microsoft, чтобы создать бэкдорные аккаунты у десятков компаний сразу.
Главная угроза в том, что атаки маскируются под обычный сетевой трафик: администраторы часто не отслеживают доверительные соединения так же строго, как прямые попытки компрометации. Это позволяет Murky Panda месяцами читать корпоративную почту, выкачивать документы и незаметно закрепляться в инфраструктуре жертв. Для сохранения контроля группа использует веб-шеллы Neo-reGeorg и China Chopper, а также собственный Linux-троян CloudedHope.
Эксперты предупреждают: пока организации доверяют облачным провайдерам «административный ключ от квартиры», Murky Panda будет использовать эти доверительные модели в свою пользу. CrowdStrike рекомендует компаниям ужесточить мониторинг Entra ID, включить многофакторную аутентификацию для всех облачных аккаунтов и оперативно закрывать уязвимости.
