다중 라이센스 할인 견적
컴퓨터 보안 미국 재무부 침해의 배후에 있는 중국 지원 해커, 이제 글로벌 IT 공급망을 표적으로 삼다

미국 재무부 침해의 배후에 있는 중국 지원 해커, 이제 글로벌 IT 공급망을 표적으로 삼다

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

중국 정부 지원 해킹 그룹인 Silk Typhoon이 최근 미국 재무부 침해 사건과 관련이 있는, 진행 중인 사이버 스파이 캠페인에서 위험한 새로운 장이 열렸습니다. Microsoft의 위협 인텔리전스 팀은 Silk Typhoon이 현재 글로벌 IT 공급망을 적극적으로 악용하여 기업에 침투하고, 감시를 수행하고, 민감한 데이터를 훔치고 있다는 엄중한 경고를 발표했습니다.

이 최근 활동은 Silk Typhoon의 전술에 우려스러운 변화를 보여줍니다. 이 그룹은 잘 방어된 클라우드 플랫폼을 직접 공격하기보다는 IT 서비스 제공업체, 원격 모니터링 및 관리 회사, 관리 서비스 제공업체(MSP)에 주의를 돌리고 있습니다. 바로 전 세계 기업 네트워크를 보호하고 유지하는 책임이 있는 회사들입니다.

실크 타이푼이 IT 공급망에 침투하는 방식

Microsoft의 연구원들은 Silk Typhoon이 도난된 API 키, 손상된 자격 증명 및 특권 액세스를 사용하여 IT 회사를 조용히 침해하고 있다는 사실을 밝혀냈습니다. 일단 침입하면 공격자는 다운스트림 고객 환경으로 범위를 확장하여 수많은 조직을 위험에 빠뜨릴 수 있습니다.

이러한 공격은 단순히 기회주의적인 것 이상입니다 . Silk Typhoon은 하이브리드 환경에 대한 높은 수준의 이해를 보여주며 온프레미스 인프라와 클라우드 서비스를 모두 능숙하게 탐색합니다. Microsoft는 이 그룹이 Entra Connect(이전 AADConnect)와 같은 합법적인 도구를 악용하여 권한을 확대하고 장기 액세스를 유지하는 것을 관찰했습니다.

이러한 진입점을 통해 Silk Typhoon은 다음을 수행합니다.

  • 내부 시스템을 매핑하기 위한 광범위한 정찰
  • 네트워크 전반의 측면 이동
  • 이메일, 파일 공유 및 클라우드 스토리지에서 데이터 유출
  • 웹 셸 및 OAuth 애플리케이션을 사용한 지속적인 액세스

강력한 방어 없이는 누구도 안전하지 않습니다

Microsoft는 직접적인 대상이 아닌 조직조차도 IT 공급업체를 통해 부수적 피해를 입을 수 있다고 경고합니다. 귀사가 공유 IT 서비스, 취약한 자격 증명 관리 또는 오래된 소프트웨어에 의존하는 경우 이미 취약할 수 있습니다.

역사적으로 Silk Typhoon은 Microsoft Exchange 서버, VPN 어플라이언스, 방화벽을 포함한 광범위한 제품을 성공적으로 침해했습니다. 이 그룹은 미국 재무부 침해의 배후에 있었으며, BeyondTrust 및 PostgreSQL과 같은 소프트웨어의 취약성을 악용하여 외국 투자와 제재를 처리하는 사무실을 감시했습니다.

실크 타이푼이 사용하는 첨단 전술

Silk Typhoon의 최근 캠페인은 점점 더 정교해지는 모습을 보여줍니다. Microsoft에 따르면, 이 그룹은 다음을 사용하여 관찰되었습니다.

  • GitHub와 같은 공개 저장소에서 발견된 재사용된 회사 비밀번호를 찾아내기 위한 비밀번호 스프레이 공격 및 정찰
  • MSGraph를 통해 이메일, OneDrive 파일 및 SharePoint 데이터를 훔칠 수 있는 높은 수준의 권한이 있는 손상된 OAuth 애플리케이션
  • 다중 테넌트 애플리케이션은 클라우드 환경 전반에서 피벗하고 다양한 조직의 중요한 리소스에 액세스할 수 있도록 해줍니다.
  • 이메일 통신을 빼내기 위한 Exchange Web Services(EWS) API 남용

이런 공격을 특히나 위험하게 만드는 요소는 Silk Typhoon이 이미 사용자 동의를 받은 애플리케이션을 하이재킹하여 정상적인 작업과 악의적인 활동을 섞을 수 있다는 점입니다.

실크 태풍의 위협이 커지고 있습니다

Microsoft는 Silk Typhoon을 세계에서 가장 광범위한 중국 위협 그룹 중 하나로 설명합니다. 강력한 지원과 제로데이 취약점을 빠르게 악용할 수 있는 리소스로, 주 및 지방 정부, 금융 기관, IT 서비스 제공업체를 포함한 여러 부문에 상당한 위협을 가하고 있습니다.

조직을 보호하는 방법

이러한 발전에 따라 Microsoft에서는 조직에 다음을 촉구합니다.

  • 의심스럽거나 권한이 과도한 액세스가 없는지 확인하기 위해 API 키와 OAuth 애플리케이션을 감사합니다.
  • 정기적인 비밀번호 변경 및 다중 요소 인증(MFA)을 포함하여 강력한 자격 증명 위생을 시행합니다.
  • 모든 시스템, 특히 APT(고급 지속 위협)의 주요 타깃이 되는 소프트웨어를 신속하게 패치합니다.
  • 특히 서비스 계정 및 클라우드 애플리케이션과 관련된 비정상적인 액세스 패턴을 모니터링합니다.

    • IT 공급망을 표적으로 삼는 것은 사이버 간첩이 더 이상 고위 정부 기관에만 위험이 아니라는 것을 증명합니다. 오늘날 공유 인프라나 제3자 공급업체에 의존하는 모든 조직은 자신을 잠재적인 표적으로 여겨야 합니다.

    사이버 보안에 대한 경계는 더 이상 선택 사항이 아닙니다. 이는 Silk Typhoon과 같이 항상 가장 민감한 데이터에 접근하는 적대자에 대한 유일한 방어 수단입니다.

    로드 중...