Microsoft: Klanten van cloudproviders zijn doelwit van Silk Typhoon

Hiervoor waarschuwt Microsoft. De groep maakt volgens een analyse van de techgigant gebruik van diverse methoden voor het uitvoeren van aanvallen. Denk daarbij aan het uitbuiten van kwetsbaarheden in edge devices waarvoor geen patches beschikbaar zijn, maar ook aan supplychain-aanvallen. De werkwijze waarvoor Microsoft waarschuwt is een voorbeeld van een dergelijke supplychain-aanval.

Eenmaal binnen bij een slachtoffer probeert Silk Typhoon zijn toegang uit te breiden van on-premises omgevingen naar cloudomgevingen. Onder meer door wachtwoorden te stelen uit key vaults en rechten op te hogen. Ook richt de groep zijn peilen op Microsoft AADConnect/Entra Connect servers. Deze tool synchroniseert on-premise Active Directory met Entra ID.

Aanvallen opsporen

Om aanvallen op te sporen adviseert Microsoft de volgende stappen uit te voeren:

• Controleer logactiviteit gerelateerd aan Entra Connect-servers op afwijkend gedrag.
• Bij toepassingen met hooggeprivilegieerde accounts, controleer service principals op nieuw gemaakte geheimen (referenties).
• Identificeer en analyseer activiteiten gerelateerd aan nieuw gemaakte toepassingen.
• Identificeer alle multi-tenant toepassingen en onderzoek de authenticaties ernaartoe.
• Analyseer alle waargenomen activiteiten met betrekking tot het gebruik van Microsoft Graph of eDiscovery, met name voor het uitlekken van SharePoint- of e-mailgegevens.
• Zoek naar nieuw gemaakte gebruikers op apparaten die kwetsbaar zijn voor Silk Typhoon en onderzoek VPN-logboeken op bewijs van wijzigingen in de VPN-configuratie of inlogactiviteiten tijdens de mogelijke periode van compromittering van niet-gepatche apparaten.

Meer informatie over de aanvallen van Silk Typhoon is hier te vinden.