Miért éppen a felhő?
A Murky Panda egyik kedvenc stratégiája, hogy a felhőszolgáltatók és ügyfeleik közötti bizalmi kapcsolatokat fordítja saját javára. Miközben a legtöbb cég az interneten keresztül elérhető rendszerek, például SaaS-szolgáltatások vagy adminisztrációs platformok védelmét részesíti előnyben, érdemes kiemelni, hogy maguk a felhőszolgáltatók gyakran mélyebb, beépített adminisztrátori hozzáféréssel rendelkeznek az ügyfelek környezetéhez. Ha egy támadó bejut a szolgáltatóhoz, könnyedén továbbléphet az ügyfelek rendszereire, így egyszerűen szerezhet érzékeny adatokat vagy e-maileket.
Trükkös támadási módszerek
Noha a legtöbb betörés jelszólopáson vagy klasszikus vírusokon alapul, a Murky Panda esetében már volt példa nulladik napi sebezhetőségek kihasználására is: feltörtek egy SaaS-szolgáltatót, megszerezték az alkalmazás regisztrációs titkos kulcsát az Entra ID-ban (korábban Azure AD), és ezzel hitelesítették magukat az ügyfelek rendszereiben. Egy másik támadás során egy Microsoft-felhőszolgáltatón keresztül, delegált adminisztrátori jogokkal, rendszergazdai szintű hozzáférést szereztek minden ügyfélnél, majd saját hátsó kapukat és emelt jogosultságokat állítottak be.
Professzionális elrejtőzés és eszközpark
A Murky Panda eszköztára kiterjedt: rendszeresen használnak saját fejlesztésű, Linux-alapú távoli elérésű trójait (RAT), a CloudedHope-ot, valamint más, kínai hackercsoportokhoz köthető kártevőket a perzisztencia fenntartására. Emellett kompromittált otthoni vagy irodai rendszereket használnak proxy szerverként, hogy zavartalanul olvadjanak bele a helyi internetforgalomba. Operatív biztonságuk is kiemelkedő: törlik a naplókat, módosítják az időbélyegzőket, hogy megnehezítsék a felderítést.
Kiemelt kockázat – mit tehetsz?
Összefoglalva megállapítható, hogy a felhőszolgáltatók bizalmi kapcsolatainak kihasználása súlyos veszélyt jelent minden olyan szervezet számára, amely SaaS-t vagy felhőalapú infrastruktúrát használ – különösen, ha érzékeny információról van szó. A megelőzéshez elengedhetetlen az Entra ID naplózásának folyamatos figyelése, a többfaktoros hitelesítés bevezetése, valamint a felhőhöz kapcsolódó rendszerek gyors frissítése. A Murky Panda példája is mutatja, hogy egy jól időzített, okosan irányított támadással akár egyetlen adminisztrátori fiók kompromittálása is dominószerűen döntheti romba az egész infrastruktúrát.
