China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access
China-linked APT Silk Typhoon targets IT Supply Chain
China-linked APT Silk Typhoon targets IT Supply Chain
Microsoft warns that China-backed Silk Typhoon behind US Treasury hack, targets global IT supply chains, using IT firms.
securityaffairs.com
- 위협 그룹 개요
- Silk Typhoon은 중국 정부와 연계된 APT(지능형 지속 위협) 그룹으로, 과거 미국 재무부 해킹에 연루됨
- 기존에는 Microsoft Exchange 등의 소프트웨어 취약점을 악용했으며, 최근에는 IT 공급망을 초기 침투 벡터로 활용
- 주요 공격 벡터
- 원격 관리 도구(Remote Management Tool), 클라우드 애플리케이션 등을 통한 초기 침투 시도
- 제로데이 취약점 및 공개된 인증정보를 통한 권한 상승
- CVE-2025-0282 (Ivanti Pulse Connect VPN)
- CVE-2024-3400 (Palo Alto Networks 방화벽)
- CVE-2023-3519 (Citrix NetScaler)
- CVE-2021-26855 등 Microsoft Exchange Server 취약점군
- 공격자는 패스워드 스프레이 공격 및 공개 저장소(GitHub 등)의 유출 자격 증명 활용
- 공격 대상
- IT 서비스 기업, MSP, RMM 솔루션 기업
- 의료, 법률, 고등교육, 국방, 정부, NGO, 에너지 등 광범위한 글로벌 업종
- Microsoft Entra ID (구 AADConnect), SharePoint, OneDrive, Exchange Online 등 주요 클라우드 리소스
- 주요 침투 및 침입 후 활동
- Active Directory 덤프, 자격 증명 탈취 및 권한 상승
- OAuth 애플리케이션 및 서비스 프린시펄을 악용한 데이터 탈취
- 다중 테넌트 환경에서 lateral movement 시도
- 정당한 앱으로 위장된 Entra ID 앱 생성 후 이메일 데이터 탈취
- MSGraph API를 통한 OneDrive, SharePoint, 메일 정보 수집
- 은폐 기법 및 인프라 운영 방식
- Covert Network(숨겨진 네트워크)를 통한 C2 통신
- Cyberoam, Zyxel 라우터, QNAP NAS 기기 등 손상된 장비 활용
- 단기 임대 VPS 서버 및 VPN, 프록시를 활용해 추적 회피
- 자체 인프라보다는 타사 장비를 악용한 위장 작전 수행
- Covert Network(숨겨진 네트워크)를 통한 C2 통신
- 결론
- 엔터프라이즈 조직은 Entra ID 연결 서버, 클라우드 API 접근 로그에 대한 상시 모니터링 필요
- 외부 노출된 VPN, RDP, AD 동기화 시스템의 취약점 점검 및 최신 패치 적용 권장
- MFA(다단계 인증) 강제 적용 및 서비스 간 네트워크 분리(세분화) 시행 필요
- OAuth 애플리케이션 권한 검토 및 불필요한 승인 애플리케이션 제거
- 로그 수집 및 탐지 룰을 통한 API 키 남용, 비정상 계정 활동 탐지 체계 구축 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Eleven11bot 봇넷, 86,000개 이상의 IoT 기기 감염 (0) | 2025.03.31 |
|---|---|
| 블랙 바스타(Black Basta) 랜섬웨어 그룹 내부 통신 유출 분석 (0) | 2025.03.31 |
| 사상 최고 수준의 직원 모니터링, 신뢰를 유지하는 도입 전략 (0) | 2025.03.31 |
| AI 에이전트 확산에 따른 복잡성과 보안 이슈 (0) | 2025.03.30 |
| 토스, IAM·NGFW 연계 통한 방화벽 정책 자동화 구현 (0) | 2025.03.30 |