كشفت شركة مايكروسوفت في تقرير جديد عن تحول تكتيكي لمجموعة التهديد السيبراني “Silk Typhoon” (المعروفة سابقًا بـ Hafnium)، حيث أصبحت تستهدف سلاسل إمداد تكنولوجيا المعلومات (IT) كوسيلة للوصول الأولي إلى الشبكات المؤسسية.
استراتيجية جديدة للهجمات
تستخدم المجموعة أدوات إدارة عن بُعد وتطبيقات السحابة لاختراق الأنظمة. وأوضحت مايكروسوفت أن “Silk Typhoon” تعتمد على المفاتيح والاعتمادات المسروقة للتسلل إلى شبكات العملاء واستغلال التطبيقات المنتشرة، بما في ذلك خدمات مايكروسوفت لتحقيق أهداف التجسس الخاصة بها.
وصفت مايكروسوفت المجموعة بأنها “تتمتع بموارد وفيرة وكفاءة تقنية عالية”، مشيرة إلى استخدامها لنقاط ضعف zero-day في الأجهزة الطرفية للقيام بهجمات متكررة ومنتظمة في مختلف القطاعات والمناطق.
القطاعات المستهدفة
تشمل القطاعات المستهدفة:
– خدمات تكنولوجيا المعلومات والبنية التحتية.
– شركات المراقبة والإدارة عن بُعد (RMM).
– مزودو الخدمات المدارة (MSPs).
– القطاعات الصحية والقانونية والتعليمية والعسكرية.
– الحكومات والمنظمات غير الحكومية.
– قطاع الطاقة.
أساليب متطورة للاختراق
بحسب التقرير، لوحظ استخدام “Silk Typhoon” لعدة أساليب اختراق منها:
– مفاتيح API والاعتمادات المسروقة : تُستخدم هذه المفاتيح لجمع البيانات من الأجهزة المستهدفة عبر حسابات إدارية.
– ثغرات zero-day : من ضمنها ثغرة في Ivanti Pulse Connect VPN (CVE-2025-0282) وهجمات رش كلمات المرور باستخدام بيانات مسربة.
كما استغلت المجموعة ثغرات أخرى مثل:
– CVE-2024-3400 : ثغرة حقن أوامر في جدران حماية Palo Alto Networks.
– CVE-2023-3519 : ثغرة تنفيذ تعليمات برمجية عن بُعد تؤثر على Citrix NetScaler.
– مجموعة ثغرات ProxyLogon على خوادم Microsoft Exchange Server.
سرقة البيانات وتنفيذ الهجمات
بعد تحقيق الوصول الأولي، تقوم “Silk Typhoon” بالتحرك داخل الأنظمة المحلية وصولاً إلى السحابة، حيث تستغل التطبيقات ذات الأذونات الإدارية لتنفيذ سرقة البيانات من البريد الإلكتروني وOneDrive وSharePoint باستخدام MSGraph API.
لتجنب الكشف، تعتمد المجموعة على شبكة خفية تُعرف بـ “CovertNetwork”، تشمل أجهزة Cyberoam المخترقة وأجهزة توجيه Zyxel ومنصات QNAP.
الاستنتاج
تُبرز أنشطة “Silk Typhoon” مدى تعقيد التهديدات السيبرانية الحديثة التي تتبناها جهات مدعومة من الدولة. هذا يدعو الشركات إلى تعزيز استراتيجيات الأمن السيبراني، بما في ذلك مراقبة مفاتيح الوصول، تطبيق التحديثات الأمنية الفورية، واستخدام آليات حماية متقدمة.
—
