Investing.com - Thị Trường Tài Chính Toàn Cầu

Microsoft cảnh báo tin tặc Trung Quốc theo dõi công nghệ đám mây

Ngày đăng 21:29 05/03/2025
© Reuters.
MSFT
0.65%

Investing.com - Microsoft (NASDAQ:MSFT) đã đưa ra cảnh báo về ’Silk Typhoon’, một nhóm gián điệp của Trung Quốc, đang theo dõi công nghệ đám mây. Nhóm này đã bị đổ lỗi cho các vi phạm trước đây trong Bộ Tài chính và hiện đang nhắm mục tiêu vào chuỗi cung ứng CNTT. Theo một bài đăng trên blog của Microsoft Security, nhóm đang tập trung vào các giải pháp CNTT phổ biến như công cụ quản lý từ xa và ứng dụng đám mây để có quyền truy cập ban đầu.

Silk Typhoon, một tập đoàn được tài trợ tốt và hiệu quả về mặt kỹ thuật, được biết đến với việc nhanh chóng vận hành các lỗ hổng zero-day được phát hiện trong các thiết bị biên. Chúng có một trong những dấu chân nhắm mục tiêu lớn nhất trong số các tác nhân đe dọa Trung Quốc, do bản chất cơ hội của họ khi hành động dựa trên các phát hiện từ các hoạt động quét lỗ hổng. Khi tìm thấy thiết bị công cộng dễ bị tấn công, chúng sẽ nhanh chóng chuyển sang giai đoạn khai thác.

Nhóm đã nhắm mục tiêu đến nhiều lĩnh vực và khu vực địa lý, bao gồm dịch vụ CNTT và cơ sở hạ tầng, các công ty giám sát và quản lý từ xa (RMM), nhà cung cấp dịch vụ được quản lý (MSP) và các chi nhánh, chăm sóc sức khỏe, dịch vụ pháp lý, giáo dục đại học, quốc phòng, chính phủ, tổ chức phi chính phủ (NGO), năng lượng và các tổ chức khác đặt tại Hoa Kỳ và trên toàn thế giới.

Silk Typhoon đã thể hiện sự thành thạo trong việc hiểu cách các môi trường đám mây được triển khai và cấu hình. Điều này cho phép họ di chuyển theo chiều ngang, duy trì tính bền bỉ và lấy cắp dữ liệu nhanh chóng trong môi trường nạn nhân. Kể từ khi Microsoft Threat Intelligence bắt đầu theo dõi tác nhân đe dọa này vào năm 2020, Silk Typhoon đã sử dụng nhiều loại web shell để thực thi lệnh, duy trì tính bền bỉ và lấy cắp dữ liệu từ môi trường nạn nhân.

Microsoft đã trực tiếp thông báo cho khách hàng bị nhắm mục tiêu hoặc bị xâm phạm, cung cấp cho họ thông tin quan trọng cần thiết để bảo mật môi trường của họ. Microsoft đang công bố thông tin này để nâng cao nhận thức về các hoạt động độc hại gần đây và lâu dài của Silk Typhoon, cung cấp hướng dẫn giảm thiểu và săn lùng, đồng thời giúp làm gián đoạn hoạt động của tác nhân đe dọa này.

Kể từ cuối năm 2024, Microsoft Threat Intelligence đã tiến hành nghiên cứu kỹ lưỡng và theo dõi các cuộc tấn công đang diễn ra do Silk Typhoon thực hiện. Những nỗ lực của họ đã nâng cao đáng kể sự hiểu biết về hoạt động của tác nhân và phát hiện ra kỹ thuật thương mại mới được sử dụng bởi tác nhân. Silk Typhoon đã được quan sát thấy lạm dụng các khóa API bị đánh cắp và thông tin đăng nhập liên quan đến quản lý quyền truy cập đặc quyền (PAM), nhà cung cấp ứng dụng đám mây và các công ty quản lý dữ liệu đám mây. Điều này cho phép tác nhân đe dọa truy cập vào môi trường khách hàng xuôi dòng của các công ty này.

Silk Typhoon cũng có được quyền truy cập ban đầu thông qua các cuộc tấn công phun mật khẩu thành công và các kỹ thuật lạm dụng mật khẩu khác, bao gồm cả việc phát hiện mật khẩu thông qua trinh sát. Trong hoạt động này, Silk Typhoon đã tận dụng mật khẩu công ty bị rò rỉ trên các kho lưu trữ công khai, chẳng hạn như GitHub, và được xác thực thành công vào tài khoản công ty.

Vào tháng 1 năm 2025, Silk Typhoon đã được quan sát thấy khai thác lỗ hổng zero-day đối mặt với Ivanti Pulse Connect VPN (CVE-2025-0282). Trung tâm Tình báo Mối đe dọa Microsoft đã báo cáo hoạt động cho Ivanti, dẫn đến việc giải quyết nhanh chóng vụ khai thác nghiêm trọng.

Khi nạn nhân đã bị xâm phạm thành công, Silk Typhoon được biết là sử dụng các chiến thuật phổ biến nhưng hiệu quả để di chuyển ngang từ môi trường tại chỗ sang môi trường đám mây. Họ tìm cách kết xuất Active Directory, đánh cắp mật khẩu trong kho khóa và leo thang các đặc quyền. Silk Typhoon đã được quan sát thấy nhắm mục tiêu vào các máy chủ Microsoft AADConnect trong các hoạt động sau xâm phạm này.

Trong khi phân tích kỹ thuật thương mại sau xâm phạm, Microsoft đã xác định Silk Typhoon lạm dụng các dịch vụ chính và các ứng dụng OAuth có quyền quản trị để thực hiện việc lấy cắp dữ liệu email, OneDrive và SharePoint thông qua MSGraph. Silk Typhoon cũng đã được quan sát thấy ảnh hưởng đến các ứng dụng nhiều người thuê, có khả năng cho phép các tác nhân di chuyển giữa các đối tượng thuê, truy cập các tài nguyên bổ sung trong người thuê và lấy cắp dữ liệu.

Silk Typhoon được biết là sử dụng các mạng bí mật để làm xáo trộn các hoạt động độc hại của họ. Các mạng bí mật này, được Microsoft theo dõi là "CovertNetwork", đề cập đến một tập hợp các IP đầu ra bao gồm các thiết bị bị xâm nhập hoặc thuê có thể được sử dụng bởi một hoặc nhiều tác nhân đe dọa.

Kể từ năm 2021, Silk Typhoon đã được quan sát thấy nhắm mục tiêu và xâm phạm các máy chủ Microsoft Exchange dễ bị tấn công chưa được vá, GlobalProtect Gateway trên tường lửa Palo Alto Networks, thiết bị Citrix NetScaler, thiết bị Ivanti Pulse Connect Secure và các thiết bị khác.

Bài viết này được tạo và dịch với sự hỗ trợ của AI và đã được biên tập viên xem xét. Để biết thêm thông tin, hãy xem Điều Kiện & Điều Khoản của chúng tôi.

Bình luận mới nhất

Cài Đặt Ứng Dụng của Chúng Tôi
Công Bố Rủi Ro: Giao dịch các công cụ tài chính và/hoặc tiền điện tử tiềm ẩn mức độ rủi ro cao, bao gồm rủi ro mất một phần hoặc toàn bộ vốn đầu tư, và có thể không phù hợp với mọi nhà đầu tư. Giá cả tiền điện tử có độ biến động mạnh và có thể chịu tác động từ các yếu tố bên ngoài như các sự kiện tài chính, pháp lý hoặc chính trị. Việc giao dịch theo mức ký quỹ gia tăng rủi ro tài chính.
Trước khi quyết định giao dịch công cụ tài chính hoặc tiền điện tử, bạn cần nắm toàn bộ thông tin về rủi ro và chi phí đi kèm với việc giao dịch trên các thị trường tài chính, thận trọng cân nhắc đối tượng đầu tư, mức độ kinh nghiệm, khẩu vị rủi ro và xin tư vấn chuyên môn nếu cần.
Fusion Media xin nhắc bạn rằng dữ liệu có trên trang web này không nhất thiết là theo thời gian thực hay chính xác. Dữ liệu và giá cả trên trang web không nhất thiết là thông tin do bất kỳ thị trường hay sở giao dịch nào cung cấp, nhưng có thể được cung cấp bởi các nhà tạo lập thị trường, vì vậy, giá cả có thể không chính xác và có khả năng khác với mức giá thực tế tại bất kỳ thị trường nào, điều này có nghĩa các mức giá chỉ là minh họa và không phù hợp cho mục đích giao dịch. Fusion Media và bất kỳ nhà cung cấp dữ liệu nào có trên trang web này đều không chấp nhận bất cứ nghĩa vụ nào trước bất kỳ tổn thất hay thiệt hại nào xảy ra từ kết quả giao dịch của bạn, hoặc trước việc bạn dựa vào thông tin có trong trang web này.
Bạn không được phép sử dụng, lưu trữ, sao chép, hiển thị, sửa đổi, truyền hay phân phối dữ liệu có trên trang web này và chưa nhận được sự cho phép rõ ràng bằng văn bản của Fusion Media và/hoặc nhà cung cấp. Tất cả các quyền sở hữu trí tuệ đều được bảo hộ bởi các nhà cung cấp và/hoặc sở giao dịch cung cấp dữ liệu có trên trang web này.
Fusion Media có thể nhận thù lao từ các đơn vị quảng cáo xuất hiện trên trang web, dựa trên tương tác của bạn với các quảng cáo hoặc đơn vị quảng cáo đó.
Phiên bản tiếng Anh của thỏa thuận này là phiên bản chính, sẽ luôn được ưu tiên để đối chiếu khi có sự khác biệt giữa phiên bản tiếng Anh và phiên bản tiếng Việt.
© 2007-2025 - Công ty TNHH Fusion Media. Mọi quyền được bảo hộ.