AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Murky Panda explota relaciones de confianza en la nube para comprometer cadenas de suministro

admin

Introducción

El grupo de amenazas persistentes avanzadas (APT) conocido como Murky Panda, también identificado como Silk Typhoon, ha intensificado sus operaciones dirigidas a infraestructuras en la nube, utilizando relaciones de confianza preexistentes para infiltrarse en redes corporativas y acceder a datos sensibles de clientes aguas abajo. Esta sofisticada campaña, atribuida a actores estatales chinos, pone de relieve la creciente sofisticación de los ataques a la cadena de suministro en entornos cloud y los retos que plantean para la defensa cibernética en empresas y organizaciones de todo el mundo.

Contexto del Incidente o Vulnerabilidad

Murky Panda ha sido vinculado históricamente a campañas de ciberespionaje dirigidas contra sectores estratégicos, incluyendo tecnología, telecomunicaciones y energía. Desde finales de 2023, se ha detectado un aumento en la actividad de este grupo en entornos cloud, donde aprovechan relaciones de confianza mal configuradas o excesivamente permisivas entre proveedores de servicios en la nube (CSP) y sus clientes. Este modus operandi permite a los atacantes pivotar lateralmente, comprometiendo tanto a los proveedores como a los clientes finales, lo que amplifica considerablemente el alcance y el impacto de sus operaciones maliciosas.

Detalles Técnicos

Las investigaciones recientes han identificado que Murky Panda explota principalmente relaciones de confianza federada, como las establecidas mediante Azure AD B2B, OAuth y configuraciones de SAML entre organizaciones. Esto les permite aprovechar credenciales e identidades con privilegios para acceder a recursos de downstream, eludiendo los controles tradicionales de segmentación y monitorización.

– CVE relevante: Aunque no se ha vinculado un CVE específico a esta campaña, las técnicas empleadas explotan debilidades en la gestión de identidades y accesos (IAM) y la configuración de permisos entre tenants.
– Vectores de ataque: Uso de tokens OAuth comprometidos, abuso de permisos delegados en Azure, explotación de aplicaciones de confianza y manipulación de roles en la nube.
– TTPs MITRE ATT&CK: TA0001 (Initial Access), T1078 (Valid Accounts), T1190 (Exploit Public-Facing Application), T1550 (Use Alternate Authentication Material), T1557 (Adversary-in-the-Middle).
– IoC observados: IPs asociadas a infraestructura de comando y control (C2) en China, uso de certificados autofirmados, patrones anómalos de autenticación entre tenants, y despliegue de herramientas como Cobalt Strike para persistencia y movimiento lateral.
– Frameworks y exploits: Se ha detectado el uso de Cobalt Strike y herramientas customizadas para la exfiltración y el acceso remoto, aunque no se han publicado exploits públicos específicos.

Impacto y Riesgos

El alcance de esta campaña es significativo, ya que afecta a organizaciones que dependen de proveedores cloud para servicios críticos. Entre los riesgos identificados se encuentran:

– Acceso no autorizado a datos sensibles de clientes y partners.
– Compromiso de cadenas de suministro digitales, permitiendo ataques en cascada.
– Riesgo de incumplimiento normativo (GDPR, NIS2) por fugas de datos personales y empresariales.
– Potencial para ataques de ransomware, extorsión y sabotaje de sistemas críticos.
– Según estimaciones de firmas de ciberseguridad, hasta un 12% de las organizaciones con relaciones de confianza federada compleja en la nube podrían estar en riesgo de exposición.

Medidas de Mitigación y Recomendaciones

Para contrarrestar estas técnicas, se recomienda:

– Auditoría y revisión exhaustiva de las relaciones de confianza y permisos IAM en entornos cloud.
– Implementación de principios de mínimo privilegio y segmentación de identidades entre tenants.
– Supervisión continua de logs y detección de autenticaciones anómalas o delegaciones sospechosas.
– Uso de autenticación multifactor (MFA) obligatoria en todos los accesos a recursos sensibles.
– Aplicación de parches y actualizaciones en entornos de autenticación y federación.
– Restricción de aplicaciones confiadas y revisión periódica de las integraciones con terceros.
– Simulación de ataques tipo Red Team para identificar posibles vectores de abuso de confianza.

Opinión de Expertos

Especialistas del sector, como analistas de Mandiant y CrowdStrike, alertan sobre la dificultad de detectar estos ataques debido a que se producen dentro de flujos de autenticación legítimos y relaciones de confianza empresariales. Según John Lambert, jefe de inteligencia de Microsoft Threat Intelligence Center, “la cadena de suministro cloud presenta un riesgo creciente, y los adversarios lo saben; la gestión de identidades y accesos se convierte en el nuevo perímetro de seguridad”.

Implicaciones para Empresas y Usuarios

El incidente pone de relieve la urgencia de redefinir los límites tradicionales de seguridad en la nube y la importancia de una gobernanza robusta de identidades y relaciones de confianza. Las empresas deben considerar que una brecha en un proveedor o partner puede tener efectos sistémicos, por lo que la seguridad de la cadena de suministro digital debe ser parte integral de su estrategia de ciberseguridad. Además, el cumplimiento normativo exige transparencia y capacidad de respuesta rápida ante incidentes de este tipo, especialmente bajo regulaciones como GDPR y NIS2.

Conclusiones

El caso de Murky Panda subraya la sofisticación creciente de los ataques a la cadena de suministro cloud y la necesidad de estrategias defensivas adaptadas al actual panorama de amenazas. Las organizaciones deben priorizar la revisión de configuraciones de confianza, la gestión de identidades y la supervisión de accesos interorganizacionales para mitigar riesgos y garantizar la continuidad de negocio en un entorno cada vez más interconectado y vulnerable.

(Fuente: www.bleepingcomputer.com)