중국의 국가가 후원하는 사이버 스파이 화 그룹 Silk Typhoon은 미국 정부 기관, 기업 및 중요한 인프라를 계속 목표로 삼아 전술을 발전 시켰습니다.
제로 데이 취약점을 악용하는 것으로 알려진이 그룹은 클라우드 기반 공격 및 공급망 타협에 대한 초점을 확대하여 운영의 정교함이 증가 함을 보여줍니다.
2024 년 말부터 실크 태풍은 도난당한 API 키 및 자격 증명을 활용하여 IT 제공 업체, 관리 서비스 제공 업체 (MSP) 및 클라우드 데이터 관리 회사에 침투하는 것으로 관찰되었습니다.
Microsoft Threat Intelligence 보고서에 따르면이 액세스를 통해 그룹은 다운 스트림 고객 환경으로 이동하여 미국 정부 정책, 법률 문서 및 법 집행 조사에 대한 데이터 수집을 수행 할 수있었습니다.
클라우드 네트워크에 대한 공격에 대한 확대
최근 연구 결과에 따르면 실크 태풍이 온-프레미스 위반에서 클라우드 환경으로의 피벗 능력을 향상시켜 Microsoft의 Entra ID (이전 Azure AD) 및 권한있는 액세스 관리 시스템을 대상으로합니다.
이 그룹은 Active Directory의 자격 증명을 훔치고, 서비스 원칙을 조작하고 OAUTH 애플리케이션을 조작하여 민감한 이메일을 추출하며, 손상된 클라우드 환경 내에서 장기 액세스를 유지하기 위해기만적인 애플리케이션을 생성하는 것으로 관찰되었습니다.
2025 년 1 월,이 그룹은 Ivanti Pulse Connect VPN (CVE-2025-0282)에서 기업 및 정부 네트워크를 위반할 수있는 중요한 결함을 이용했습니다. Microsoft는 활동을 Ivanti에게보고하여 빠른 패치로 이어졌지만 공격으로 인해 실크 태풍의 활성화가 많은 조직이 응답 할 수있는 것보다 빠르게 악용을 운영 할 수있는 능력을 보여주었습니다.
비밀번호 공격을 통해 네트워크 침투
소프트웨어 취약점을 이용하는 것 외에도 실크 태풍은 비밀번호 스프레이 및 Github와 같은 공개 리포지토리에서 유출 된 회사 자격 증명을 사용하여 암호를 사용하여 암호 기반 공격을 강화하여 무단 액세스를 얻었습니다. 이 그룹은 또한 손상된 API 키와 이식 된 웹 쉘을 통해 관리자 계정을 재설정하여 피해자 환경 내에서 지속성을 유지했습니다.
은밀한 네트워크 사용
활동을 가리기 위해 Silk Typhoon은 Cyberoam 방화벽, Zyxel 라우터 및 QNAP 저장 장치를 포함한 손상된 기기의 은밀한 네트워크를 사용하여 관찰되었습니다. 이 장치는 Silk Typhoon의 운영에 대한 egress 포인트 역할을하여 그룹이 사이버 보안 방어에 의한 탐지를 피할 수 있도록 도와줍니다.
