СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.08.2025
#ИБ#Инфра#Облака

MURKY PANDA: облачный шпионаж через компромиссы доверительных отношений

MURKY PANDA: облачный шпионаж через компромиссы доверительных отношений

С конца 2024 года злоумышленник, связанный с Китаем и оперирующий под именем MURKY PANDA, проявляет повышенную активность против организаций Северной Америки — в том числе правительственных учреждений, технологических компаний и профессиональных сервисов. По оценкам исследователей, этот противник демонстрирует глубокое понимание облачной инфраструктуры и приложений, применяя сложные методы для нарушения доверительных отношений в облачных средах и длительного скрытого присутствия.

Кто такой MURKY PANDA и каковы его цели

MURKY PANDA — целенаправленный кибершпионский актор, который преимущественно занимается сбором разведданных. В ряде случаев группировка уже извлекала конфиденциальные письма и документы от высокопоставленных целей. Ее операции направлены не на немедленное разрушение, а на длительное наблюдение и извлечение информации, часто через минимально заметные каналы доступа.

Методы, инструменты и векторы атак

  • Первичный доступ: быстрый эксплуатация уязвимостей «n‑day» и «zero‑day», чаще всего через интернет‑доступные устройства.
  • Компромиссы доверительных отношений в облаке: активное использование уязвимостей в SaaS и облачных решениях для перехода от поставщиков к их клиентам.
  • Примеры инструментов:
    • веб‑шеллы, в частности Neo‑reGeorg;
    • семейство малораспространенных малвари CloudedHope;
  • Сложные техники перемещения: использование делегированных административных привилегий у облачных провайдеров для облегчения доступа между клиентами (известный случай — компрометация поставщика облачных решений Microsoft).
  • Ориентация на скрытность: методы обфускации и редко отслеживаемые точки входа, что позволяет сохранять длительный необнаруженный доступ.

Почему вектор «компромиссов доверия в облаке» особенно опасен

В отличие от классических цепочек взлома, в которых злоумышленник получает доступ к отдельной машине или учетной записи, MURKY PANDA эксплуатирует архитектурные связи между сервисами: уязвимость у одного SaaS‑поставщика может дать доступ к множеству его клиентов. Такой вектор сложнее мониторить и распознавать потому, что действия выполняются от имени «доверенных» сервисов и часто выглядят как легитимная внутренняя активность.

Практические рекомендации

Исследователи и провайдеры безопасности, в том числе CrowdStrike, подчеркивают важность усиленного мониторинга и проведения threat hunting в облачных средах. Рекомендуемые меры включают:

  • Включить журналы действий Microsoft Graph. Как отмечают эксперты:

    «включить журналы действий Microsoft Graph»

    — это критически важный шаг для получения информации о том, какие участники и какие ресурсы задействованы при доступах к сервисам.

  • Анализ аномалий входа в систему: уделять внимание попыткам входа из необычных локаций, время‑петлям и доступам к непредвиденным ресурсам.
  • Тщательное ревью действий привилегированных и сервисных аккаунтов: отслеживать отклонения в поведении основных пользователей сервиса и сервис‑принципалов.
  • Использование возможностей мониторинга и threat hunting, предлагаемых сторонними платформами безопасности (включая рекомендации CrowdStrike) для поиска скрытых бэкдоров и постфактум‑активности.
  • Ограничение и строгая сегментация доверительных связей между SaaS‑поставщиками и клиентскими окружениями; проведение оценок риска для делегированных административных прав.
  • Регулярное тестирование и своевременное патчение интернет‑доступных устройств и сервисов, чтобы минимизировать окно для n‑day / zero‑day эксплуатаций.

Вывод

Операции MURKY PANDA демонстрируют высокую изощренность: злоумышленники используют малоотслеживаемые векторы и техники обфускации, чтобы оставаться незаметными и при этом получать доступ к стратегически важной информации. Для организаций это означает необходимость пересмотра подхода к мониторингу облачных доверительных отношений, усиления логирования (включая Microsoft Graph) и активизации поисковых процедур безопасности. Без этих мер риск длительного скрытого присутствия и утечки конфиденциальных данных остается высоким.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: