A Microsoft revelou que o grupo de espionagem de origem chinesa Silk Typhoon comprometeu vários provedores de nuvem e atacou clientes dessas empresas. De acordo com a análise publicada, os invasores utilizam uma combinação de táticas, incluindo exploração de vulnerabilidades em dispositivos de borda sem correções disponíveis, pulverização de senhas, uso de credenciais vazadas e ataques à cadeia de suprimentos.
Leia também
Invasão de servidor leva Rubrik a rotacionar chaves
Uso de nuvem desafia equipes de cyber
A Microsoft observou o grupo utilizando chaves de API e credenciais roubadas de provedores de gerenciamento de acesso privilegiado (PAM), aplicativos em nuvem e empresas de gerenciamento de dados para atingir seus alvos, principalmente governos e empresas de TI. Após obter acesso, os hackers roubam dados, redefinem contas de administrador, instalam shells da web, criam usuários adicionais e limpam logs para ocultar suas atividades.
Se o ambiente local for comprometido, os invasores frequentemente migram para a nuvem, permitindo o roubo do Active Directory, senhas armazenadas em cofres e escalonamento de privilégios. Servidores Microsoft AADConnect (agora Entra Connect) estão entre os alvos, já que sua exploração pode fornecer acesso total aos ambientes locais e na nuvem.
Para mitigar o risco, a Microsoft recomenda evitar que contas de serviço locais tenham direitos diretos sobre recursos na nuvem, monitorar logs do Entra Connect para atividades suspeitas e verificar a criação de novos usuários em dispositivos de borda.
