国家関連のスパイ活動グループが、CommvaultおよびCitrix Netscalerのゼロデイ脆弱性を悪用していると研究者が警告しています。
セキュリティ研究者は、中国政府と関係があるハッカーグループ「Silk Typhoon」による最近のサイバー攻撃の波について警告しています。このグループは、ここ数年、北米の政府機関、テクノロジー企業、その他の組織を標的にしています。
Silk Typhoonは、CitrixおよびCommvault製品のゼロデイ脆弱性を悪用し、ソフトウェア・アズ・ア・サービス(SaaS)プロバイダーのクラウド環境へのアクセスを得ていると、CrowdStrikeは木曜日のブログ投稿で述べています。
CrowdStrikeが「Murky Panda」と呼ぶこのグループは、インターネットに接続された機器の脆弱性を悪用し、小規模オフィスや家庭用ルーターを侵害するなどの手口で侵入を行っていると、同社は述べています。
ハッカーは複数の重大な脆弱性を悪用しており、その中にはCitrix Netscaler ADCおよびCitrix Gatewayに影響を与えるCVE-2023-3519や、Commvaultデバイスに影響するCVE-2025-3928などが含まれています。
「このグループが懸念されるのは、信頼されたクラウドやSaaSの関係を侵害し、下流の顧客環境にまで侵入できる能力にあります」と、CrowdStrikeの対抗活動部門責任者アダム・マイヤーズ氏はCybersecurity Diveに語っています。「彼らがEntra IDのサービスプリンシパルや委任されたアクセス権限の弱点を悪用し、アイデンティティ基盤を攻撃の足がかりにしているのを確認しています。」
最近の事例では、あるSaaSプロバイダーがEntra IDを利用してアプリケーションの顧客データへのアクセスを管理していました。ハッカーはアプリケーション登録のシークレットにアクセスし、それによって下流の顧客環境への侵入を可能にしたとCrowdStrikeのブログは伝えています。
別の事例では、ハッカーがMicrosoftクラウドソリューションのプロバイダーを侵害し、それにより委任された管理者権限を使って下流の顧客へのアクセスを得ていたとCrowdStrikeは述べています。
CrowdStrikeは、ユーザーに対して脆弱性やクラウド環境、エッジデバイス上のソフトウェアを適切にパッチ適用するよう推奨しています。
翻訳元: https://www.cybersecuritydive.com/news/china-hacker-silk-typhoon-cloud/758409/