Hacker using laptop. Lots of digits on the computer screen.

Le typhon chinois apt en soie exploite les faiblesses de la chaîne d’approvisionnement pour l’accès initial

Lucas Morel

Les tactiques du groupe des menaces marquent un passage des exploits directs au mouvement latéral grâce à un accès privilégié obtenu en compromettant les fournisseurs de services informatiques et les partenaires tiers.

Un groupe de menaces aligné par la Chine suivi par Microsoft sous le nom de Silk Typhoon, dont deux membres ont récemment été chargés par les autorités américaines, a récemment transféré l’attention de la chaîne d’approvisionnement informatique de l’entreprise en compromettant les services informatiques cloud et les fournisseurs de logiciels, puis en aval vers leurs clients, selon un rapport de Microsoft.

Le typhon de soie, connu pour exploiter les vulnérabilités zéro-jours dans les dispositifs de bord de réseau, est très compétent pour effectuer un mouvement latéral entre les environnements cloud et site.

«En particulier, le typhon de soie a été observé en abusant des clés d’API volées et des informations d’identification associées à la gestion de l’accès aux privilèges (PAM), aux fournisseurs d’applications cloud et aux sociétés de gestion des données cloud, permettant à l’acteur de menace d’accéder aux environnements clients en aval de ces sociétés», a averti Microsoft Researchs.

Le 5 mars, les autorités américaines ont inculpé 12 ressortissants chinois d’avoir attaqué les critiques et les dissidents américains de Chine, une grande organisation religieuse aux États-Unis, les ministères étrangères de plusieurs gouvernements en Asie et les agences gouvernementales fédérales et d’État américaines, y compris le Département du Trésor fin 2024.

Le ministère de la Justice (DOJ) et le FBI ont également annoncé la saisie des domaines Internet liés au typhon de soie, également connu sous le nom d’APT27.

Le typhon de soie a attaqué un large éventail de cibles

Le groupe cible activement les services informatiques et les fournisseurs d’infrastructures, les sociétés de surveillance et de gestion à distance (RMM), les fournisseurs de services gérés (MSP) et leurs sociétés affiliées, organisations de soins de santé, sociétés de services juridiques et autres sociétés qui auraient pu avoir accès aux systèmes et réseaux de leurs clients. Cela ouvre la porte aux compromis de la chaîne d’approvisionnement grâce à l’abus d’accès privilégié.

Dans un tel incident, le typhon de soie a utilisé des clés d’API volées pour accéder aux appareils des clients et locataires en aval d’une organisation via un compte d’administration. En utilisant l’accès fourni par les touches API volées, les attaquants réinitialisent le compte d’administration par défaut, créé des utilisateurs supplémentaires, déployé des shells Web et supprimé des entrées de journal pour masquer leurs pistes.

Les victimes en aval provenaient principalement de l’État et du gouvernement local, ainsi que du secteur informatique, et les informations volées à leurs systèmes étaient liées à la politique et à l’administration du gouvernement américain, aux enquêtes d’application de la loi et à d’autres processus juridiques.

« Le typhon de soie a montré une compétence dans la compréhension de la façon dont les environnements cloud sont déployés et configurés, ce qui leur permet de se déplacer avec succès latéralement, de maintenir la persistance et d’exfiltrer rapidement les données dans les environnements victimes », ont déclaré les chercheurs.

Mouvement latéral bidirectionnel

En plus de maltraiter les actifs cloud et les services et les fournisseurs de logiciels tiers pour accéder aux réseaux locaux, les attaquants de typhon de soie sont également compétents pour passer des environnements sur site dans des environnements cloud. Les pirates du groupe ciblent régulièrement les serveurs Microsoft Aadconnect (maintenant ENTRA Connect) qui sont utilisés pour synchroniser les déploiements Active Directory sur site avec Azure AD (maintenant appelé ID ENTRA).

Une fois dans un réseau local, les attaquants tenteront de vider les informations d’identification d’Active Directory, recherchent les mots de passe dans les clés clés et augmenteront leurs privilèges à l’administrateur.

En plus de cibler les fournisseurs informatiques, des fournisseurs de gestion de l’identité et des solutions RMM pour l’accès initial, le typhon de soie a des antécédents de développement d’exploits de jours zéro. En 2021, le groupe a compromis des centaines de serveurs d’échange Microsoft appartenant à des organisations privées et aux agences gouvernementales par le biais d’exploits de jours zéro, ce qui a incité le FBI à obtenir une ordonnance du tribunal qui a permis à l’agence de supprimer à distance les coquilles Web déployées des serveurs privés, une décision considérée comme sans précédent.

Le typhon de sel cible également les références compromises

Depuis lors, le groupe s’est spécialisé dans les exploits zéro-jours pour les appareils de bord de réseau, exploitant des vulnérabilités dans GlobalProtect Gateway sur les pare-feu Palo Alto Networks (CVE-2024-3400), Citrix Netscaler Appliances (CVE-2023-3519) et Ivanti Connect Appliances (CVE-2025-0282).

Les informations d’identification compromises font également partie des efforts d’accès initiaux du groupe. Celles-ci sont le résultat des deux attaques en pulvérisation de mot de passe, de la collecte active à partir de réseaux et de systèmes compromis, ainsi que de la reconnaissance en scannant les référentiels publics GitHub pour les informations d’identification et les mots de passe d’entreprise. Cependant, les informations d’identification ne sont pas toujours nécessaires s’il existe des applications privilégiées et pré-authentifiées qui peuvent être abusées pour accéder aux informations.

« Lors de l’analyse de Tradecraft post-compromis, Microsoft a identifié des principaux services de service de typhon de soie et des applications OAuth avec des autorisations administratives pour effectuer des e-mails, OneDrive et une exfiltration de données SharePoint via Msgraph », ont déclaré les chercheurs. «Tout au long de leur utilisation de cette technique, le typhon en soie a été observé avoir accès à une application qui était déjà consenti auprès du locataire pour récolter les données de messagerie et ajouter leurs propres mots de passe à l’application.»

Défendre contre les méthodes de Silk Typhoon

Les organisations doivent s’assurer que tous leurs serveurs, appareils et autres appareils orientés Internet sont tenus à jour. Dans le cas où il y a une vulnérabilité à jour zéro, une analyse médico-légale devrait être effectuée et toutes les activités potentielles post-compromises qu’un acteur de menace aurait pu effectuer, y compris le mouvement latéral, devrait être étudiée. Après les cycles de patch, toutes les sessions actives ou persistantes pour les utilisateurs connectées ou les utilisateurs distants doivent être résiliés et réinitialisés.

Microsoft a déclaré que les directeurs légitimes d’application et de service – comptes de services – devraient être soumis à des contrôles et à une surveillance solides. Ceux-ci incluent:

  • Audit le niveau de privilège actuel de toutes les identités, utilisateurs, directeurs de services et applications Microsoft Graph Connect (utilisez le portail d’autorisation Microsoft Graph Data Connect) pour comprendre quelles identités sont très privilégiées. Examinez les privilèges plus étroitement s’ils appartiennent à une identité inconnue, appartiennent à des identités qui ne sont plus utilisées ou qui ne sont pas adaptées à l’usage.
  • Identifiez les applications OAuth abusé à l’aide des politiques de détection d’anomalies. Détecter les applications OAuth abusé qui font des activités administratives en ligne d’échanges sensibles via la gouvernance des applications. Enquêter et résoudre les applications OAuth risquées.
  • Passez en revue toutes les applications qui détiennent EWS.AccessSasuser.all et ews.full_access_as_app et comprenez si elles sont toujours requises dans le locataire.
  • Les applications qui ne sont plus nécessaires doivent être supprimées. Si les applications doivent accéder aux boîtes aux lettres, l’accès granulaire et évolutif peut être implémenté en utilisant le contrôle d’accès basé sur les rôles pour les applications dans Exchange Online. Ce modèle d’accès garantit que les candidatures ne sont accordées qu’aux boîtes aux lettres spécifiques requises.

Les signes des emplacements inhabituels doivent également être signalés, l’accès doit suivre le principe du moindre privilège et l’accès VPN doit être effectué en utilisant des méthodes d’authentification modernes. Les comptes de services sur site ne devraient pas avoir des autorisations directes sur les ressources cloud pour limiter les mouvements latéraux et les politiques d’accès conditionnel doivent être mises en œuvre. Le rapport Microsoft contient des recommandations supplémentaires ainsi que des requêtes Microsoft Sentinel pour rechercher des activités liées au typhon de soie.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support