Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r. – część 6: Wykrywanie zagrożeń w chmurze

W 2025 r. atakujący są głęboko zakorzenieni w ekosystemach chmury, nadużywając infrastruktury, usług i tożsamości na dużą skalę. Raport szczegółowo opisuje, w jaki sposób grupy takie jak MURKY PANDA i GENESIS PANDA wykorzystują płaszczyznę kontroli chmury do prowadzenia działań szpiegowskich, utrzymywania się w systemie oraz operacji dowodzenia i kontroli.

Wtargnięcia do chmury

W pierwszej połowie 2025 r. liczba wtargnięć do chmury wzrosła o 136% w porównaniu z całym 2024 r. Same tylko podmioty powiązane z Chinami odpowiadały za 40-procentowy wzrost liczby wtargnięć związanych z chmurą w ujęciu rok do roku. Atakujący doskonalą się w wykorzystywaniu chmury, często łącząc w swoich działaniach nadużywanie tożsamości, utrzymywanie się w chmurze SaaS i usługi natywne dla chmury.

MITREATTACK

Najczęstsze techniki obserwowane w kampaniach w chmurze obejmują:

Wstępny dostęp – ważne konta, naruszenie łańcucha dostaw, wykorzystanie aplikacji publicznych.

Wykonanie – polecenia instancji chmury, wykorzystanie usług koordynacyjnych.

Trwałość – manipulowanie kontami, nieautoryzowane role IAM, obiekty przechowywane w chmurze.

Eskalacja uprawnień – nadużywanie nieprawidłowo skonfigurowanych uprawnień IAM, omijanie MFA.

Unikanie zabezpieczeń – usuwanie wskaźników, modyfikowanie zapory ogniowej lub logów chmury.

Sterowanie i kontrola – usługi proxy, wykorzystanie pamięci masowej w chmurze do przechowywania ładunków.

Zarówno MURKY PANDA, jak i GENESIS PANDA często nadużywają ról tożsamości w chmurze i nieprawidłowo skonfigurowanej pamięci masowej, aby pozostać niewykrytymi.

Operacje w chmurze

Od marca 2024 r. do marca 2025 r. GENESIS PANDA prowadziła roczną kampanię wykorzystującą płaszczyznę kontroli chmury jako broń:

Wysyłała zapytania do IMDS w celu uzyskania poświadczeń.

Uzyskiwała dostęp do płaszczyzny kontroli chmury w celu przemieszczania się w sieci.

Wykorzystywała domeny C2 i pamięć masową w chmurze jako infrastrukturę.

Utrzymywała stałą obecność poprzez nieautoryzowany dostęp oparty na tożsamości.

Hostowała ładunki bezpośrednio w infrastrukturze chmury w celu eksfiltracji i C2.

W tej sekcji moją uwagę zwróciło to, jak atakujący wykorzystują obecnie samą płaszczyznę kontroli chmury — coś, co obrońcy uważali kiedyś za warstwę neutralną. Atakujący wykorzystują narzędzia natywne dla chmury, nadużywają ról tożsamości i przekształcają platformy SaaS w infrastrukturę ataku. Dla obrońców oznacza to, że polowanie w chmurze musi wykraczać poza sprawdzanie konfiguracji. Wymaga to korelacji tożsamości, pamięci masowej i działań koordynacyjnych w całej strukturze chmury.

Autor: Sebastian Burgemejster