Murky Panda: Tehditin Kaynağı
Murky Panda, diğer adıyla Silk Typhoon, devlet destekli bir Çinli siber saldırı grubudur. Bu grup, bulut ortamlarındaki güvenilir ilişkileri istismar ederek, müşteri ağlarına ve verilerine ulaşmaya çalışmaktadır. Özellikle kamu, teknoloji, akademi, hukuk ve profesyonel hizmetler alanındaki kuruluşları hedef almasıyla tanınmaktadır. Murky Panda, 2021 yılında Microsoft Exchange‘deki ProxyLogon zaafiyetini kullanarak birçok siber casusluk kampanyasında rol oynamıştır.
Güvenilir Bulut İlişkilerini İstismar Etme
Murky Panda, kurumsal ağlara ilk erişimi sağlamak için genellikle internet üzerinden açık olan cihazları ve hizmetleri istismar etmektedir. Örneğin, CVE-2023-3519 hatası ile Citrix NetScaler cihazlarını, ProxyLogin ile Microsoft Exchange’i ve CVE-2025-0282 ile Ivanti Pulse Connect VPN’i hedef alırken, CrowdStrike’ın yeni raporu, tehdit aktörlerinin bulut hizmet sağlayıcılarını da nasıl ele geçirdiğini göstermektedir.
Bulut sağlayıcıları, müşteri ortamlarına gömülü yönetimsel erişim verilmesi nedeniyle, saldırganlar bu erişimi kötüye kullanarak doğrudan müşteri ağına sızabilmektedir. Bir vaka örneğinde, hedef saldırganlar, SaaS sağlayıcısının bulut ortamına girerek, Entra ID üzerindeki uygulama kayıt gizli anahtarına erişim elde etmiştir. Bu da onlara, müşterilerin ortamlarına giriş yapma yetkisi vermektedir.
Başka bir saldırıda, Murky Panda, Microsoft bulut çözüm sağlayıcısında devredilmiş yönetimsel ayrıcalıklar (DAP) kullanarak bir hesabı ele geçirmiştir. Bu sayede, saldırganlar tüm müşteri gruplarında Küresel Yönetici haklarına erişim sağlamış ve müşteri ortamlarında arka kapı hesapları oluşturmuştur.
CrowdStrike’ın vurguladığı gibi, güvenilir ilişkilerden kaynaklanan ihlaller nadirdir ve şifre çalma gibi daha yaygın yollarla karşılaştırıldığında daha az izlenmektedir. Murky Panda, bu güven modeliyle daha kolay bir şekilde meşru trafikle karışarak uzun süreli gizli erişim sağlamaktadır.
İzleme ve Savunma Önlemleri
Murky Panda’nın bulut odaklı ihlalleri yanında, erişimi korumak ve tespiti atlatmak için çeşitlilik gösteren özelleştirilmiş zararlı yazılımlar kullanıldığı da görülmektedir. Saldırganlar, güvenli kalıcı erişim sağlamak amacıyla genellikle Neo-reGeorg ve China Chopper adlı açık kaynak web shell’leri kullanmaktadır.
Bu grubun ayrıca Linux tabanlı bir uzaktan erişim trojanı (RAT) olan CloudedHope erişimi bulunmaktadır. Bu yazılım, saldırganların enfekte olan cihazları kontrol etmesini sağlamakta ve ağda yayılmalarına olanak tanımaktadır. Murky Panda, operasyonel güvenlik (OPSEC) kurallarına da dikkat etmektedir; örneğin, zaman damgalarını değiştirmek ve logları silmek, adli analizleri zorlaştırmaktadır.
Ayrıca, saldırganlar, ele geçirilmiş küçük ofis ve ev ofisi (SOHO) cihazlarını proxy sunucuları olarak kullanmakta, böylece hedef ülkenin altyapısının içindeymiş gibi görünmektedir. Bu durum, zararlı trafiğin normal trafikle kaynaşmasını sağlamakta ve tespiti zorlaştırmaktadır.
Önemli Casusluk Tehdidi
CrowdStrike, Murky Panda’nın son derece gelişmiş bir rakip olduğunu ve sıfır günlük ve güncel açık (n-day) zaafiyetleri hızla silahlandırma yeteneğine sahip olduğunu belirtmektedir. Güvenilir bulut ilişkilerinin kötüye kullanılması, SaaS ve bulut sağlayıcılarını kullanan kuruluşlar için büyük riskler taşımaktadır.
Murky Panda saldırılarına karşı savunma önerileri arasında, Entra ID hizmet prensi oturum açmalarında anormal hareketlerin izlenmesi, bulut sağlayıcı hesapları için çok faktörlü kimlik doğrulaması uygulanması, Entra ID loglarının izlenmesi ve bulutla yüzleşen altyapının güncellenmesi yer almaktadır.
CrowdStrike, “Murky Panda, Kuzey Amerika’daki hükümet, teknoloji, hukuk ve profesyonel hizmet kuruluşlarına ve hassas bilgilere erişimi olan tedarikçilerine önemli bir tehdit oluşturmaktadır,” demektedir. Bu durum, bulut ortamlarına yüksek derecede bağımlı olan kuruluşların, bulut içindeki güvenilir ilişki ihlallerine karşı savunmasız olduğunu göstermektedir. Çin kaynaklı rakipler, gelişmiş teknikler kullanarak dünya genelinde birçok sektörü hedef almaya devam etmektedir.
