Microsoft Threat Intelligence в своем блоге , опубликованном в среду, сообщила, что поддерживаемая государством китайская группировка Silk Typhoon в конце 2024 года сменила тактику, чтобы расширить доступ и обеспечить возможность последующих атак на конечных клиентов своих первоначальных целей.
Китайская шпионская группа, также известная как APT27, использовала украденные API-ключи и учетные данные для управления привилегированным доступом, поставщиков облачных приложений и компаний по управлению данными, чтобы проникать в сети, эксплуатируемые государственными и местными органами власти, а также организациями в секторе ИТ.
«После успешного взлома жертвы Silk Typhoon использует украденные ключи и учетные данные для проникновения в сети клиентов, где они затем могут использовать различные развернутые приложения, включая службы Microsoft и другие, для достижения своих шпионских целей», — сообщила Энн Джонсон, вице-президент по безопасности Microsoft, в сообщении на LinkedIn .
Silk Typhoon проводил разведывательную деятельность, используя украденные API-ключи и скомпрометированные корпоративные пароли, найденные на общедоступных сайтах, таких как GitHub. Это позволило им получить доступ к административным учётным записям и похитить данные с периферийных устройств.
Microsoft Threat Intelligence сообщила, что Silk Typhoon получил доступ к уязвимости через атаки с использованием паролей, эксплойты нулевого дня и неисправленные сторонние сервисы. Недавно группа злоумышленников воспользовалась критической уязвимостью нулевого дня — CVE-2025-0282 — в VPN-сервисе Ivanti Pulse Connect.
Исследователи утверждают, что Silk Typhoon в первую очередь нацелен на получение доступа к поставщикам ИТ, платформам управления идентификацией, управлению привилегированным доступом и инструментам удаленного мониторинга и управления.
Группа перемещается из локальных в облачные среды, похищая учетные данные Active Directory, получая доступ к паролям в хранилищах ключей и атакуя серверы Entra Connect — инструмент, который организации используют для синхронизации локальных баз данных Active Directory с Entra ID, — с целью повышения привилегий.
Microsoft Threat Intelligence также обнаружила, что Silk Typhoon использует приложения OAuth с правами администратора для кражи данных электронной почты, OneDrive и SharePoint через MSGraph.
Техническое мастерство этой группы угроз, демонстрируемое ее способностью быстро меняться и эффективно использовать уязвимости, обеспечивает ей «один из самых обширных охватов среди китайских субъектов угроз», говорится в блоге Microsoft Threat Intelligence.
Исследователи связывают Silk Typhoon с атаками, нацеленными на ИТ-сервисы, поставщиков управляемых услуг, а также организации в сфере энергетики, здравоохранения, высшего образования, юриспруденции, обороны и государственного управления.
Microsoft опубликовала своё последнее исследование по Silk Typhoon на фоне серии обвинительных заключений, в которых 12 граждан Китая обвиняются в предполагаемом участии в масштабной шпионской кампании, включая многочисленные атаки на правительственные учреждения США. Два предполагаемых члена Silk Typhoon, Инь Кэчэн и Чжоу Шуай, были среди тех, кому федеральные прокуроры предъявили обвинения в среду.
Китайская шпионская группа, также известная как APT27, использовала украденные API-ключи и учетные данные для управления привилегированным доступом, поставщиков облачных приложений и компаний по управлению данными, чтобы проникать в сети, эксплуатируемые государственными и местными органами власти, а также организациями в секторе ИТ.
«После успешного взлома жертвы Silk Typhoon использует украденные ключи и учетные данные для проникновения в сети клиентов, где они затем могут использовать различные развернутые приложения, включая службы Microsoft и другие, для достижения своих шпионских целей», — сообщила Энн Джонсон, вице-президент по безопасности Microsoft, в сообщении на LinkedIn .
Silk Typhoon проводил разведывательную деятельность, используя украденные API-ключи и скомпрометированные корпоративные пароли, найденные на общедоступных сайтах, таких как GitHub. Это позволило им получить доступ к административным учётным записям и похитить данные с периферийных устройств.
Microsoft Threat Intelligence сообщила, что Silk Typhoon получил доступ к уязвимости через атаки с использованием паролей, эксплойты нулевого дня и неисправленные сторонние сервисы. Недавно группа злоумышленников воспользовалась критической уязвимостью нулевого дня — CVE-2025-0282 — в VPN-сервисе Ivanti Pulse Connect.
Исследователи утверждают, что Silk Typhoon в первую очередь нацелен на получение доступа к поставщикам ИТ, платформам управления идентификацией, управлению привилегированным доступом и инструментам удаленного мониторинга и управления.
Группа перемещается из локальных в облачные среды, похищая учетные данные Active Directory, получая доступ к паролям в хранилищах ключей и атакуя серверы Entra Connect — инструмент, который организации используют для синхронизации локальных баз данных Active Directory с Entra ID, — с целью повышения привилегий.
Microsoft Threat Intelligence также обнаружила, что Silk Typhoon использует приложения OAuth с правами администратора для кражи данных электронной почты, OneDrive и SharePoint через MSGraph.
Техническое мастерство этой группы угроз, демонстрируемое ее способностью быстро меняться и эффективно использовать уязвимости, обеспечивает ей «один из самых обширных охватов среди китайских субъектов угроз», говорится в блоге Microsoft Threat Intelligence.
Исследователи связывают Silk Typhoon с атаками, нацеленными на ИТ-сервисы, поставщиков управляемых услуг, а также организации в сфере энергетики, здравоохранения, высшего образования, юриспруденции, обороны и государственного управления.
Microsoft опубликовала своё последнее исследование по Silk Typhoon на фоне серии обвинительных заключений, в которых 12 граждан Китая обвиняются в предполагаемом участии в масштабной шпионской кампании, включая многочисленные атаки на правительственные учреждения США. Два предполагаемых члена Silk Typhoon, Инь Кэчэн и Чжоу Шуай, были среди тех, кому федеральные прокуроры предъявили обвинения в среду.
