入侵美国财政部的中国黑客现将目标转向全球 IT 供应链

丝绸台风 (Silk Typhoon) 是一个受中国政府支持的黑客组织，最近与美国财政部入侵事件有关，该组织正在进行的网络间谍活动开启了危险的新篇章。微软威胁情报团队发出了严厉警告，称丝绸台风目前正在积极利用全球 IT 供应链渗透企业、进行监视并窃取敏感数据。

此次最新活动标志着 Silk Typhoon 的策略发生了令人担忧的转变。该组织不再直接攻击防御严密的云平台，而是将注意力转向 IT 服务提供商、远程监控和管理公司以及托管服务提供商 (MSP)——这些公司负责保护和维护全球企业网络。

Silk Typhoon 如何渗透 IT 供应链

微软研究人员发现，Silk Typhoon 正在利用窃取的 API 密钥、泄露的凭证和特权访问悄无声息地入侵 IT 公司。一旦进入内部，攻击者就可以将攻击范围扩大到下游客户环境，使无数组织面临风险。

这些攻击不仅仅是机会主义的。Silk Typhoon 展示了对混合环境的高级理解，能够熟练地驾驭本地基础设施和云服务。微软观察到该组织利用 Entra Connect（以前称为 AADConnect）等合法工具来提升权限并维持长期访问权限。

通过这些切入点，丝绸台风开展以下活动：

• 进行广泛侦察，绘制内部系统地图
• 跨网络横向移动
• 电子邮件、文件共享和云存储中的数据泄露
• 使用 Web Shell 和 OAuth 应用程序进行持久访问

没有强大的防御，任何人都无法安全

微软警告称，即使不是直接目标的组织也可能通过其 IT 提供商受到附带损害。如果您的企业依赖共享 IT 服务、薄弱的凭证管理或过时的软件，那么您可能已经处于危险之中。

从历史上看，Silk Typhoon 曾成功入侵了各种产品，包括 Microsoft Exchange 服务器、VPN 设备和防火墙。该组织是美国财政部入侵事件的幕后黑手，该组织利用 BeyondTrust 和 PostgreSQL 等软件中的漏洞，监视处理外国投资和制裁的办公室。

丝绸台风使用的先进战术

Silk Typhoon 最近的攻击活动凸显了其日益复杂的攻击方式。据微软称，该组织已使用以下攻击方式：

• 密码喷洒攻击和侦察，以发现在 GitHub 等公共存储库中发现的重复使用的公司密码
• 被感染的 OAuth 应用程序具有高级权限，可通过 MSGraph 窃取电子邮件、OneDrive 文件和 SharePoint 数据
• 多租户应用程序受到攻击，允许它们跨云环境切换并访问不同组织中的敏感资源
• 滥用 Exchange Web 服务 (EWS) API 窃取电子邮件通信信息

这些攻击尤其危险的原因在于 Silk Typhoon 能够劫持已获得用户同意的应用程序，使其恶意活动融入正常操作中。

丝绸台风威胁日益严重

微软将 Silk Typhoon 描述为全球最广泛的中国威胁组织之一。他们拥有强大的后盾和快速利用零日漏洞的资源，对各行各业构成重大威胁，包括州和地方政府、金融机构和 IT 服务提供商。

如何保护您的组织

鉴于这些发展，微软敦促各组织：

• 审核 API 密钥和 OAuth 应用程序，以确保没有可疑或过度特权的访问
• 实施严格的凭证卫生措施，包括定期更改密码和多因素身份验证 (MFA)

IT 供应链成为攻击目标，这证明网络间谍活动不再只是政府高官的专利。如今，每个依赖共享基础设施或第三方提供商的组织都必须将自己视为潜在目标。

网络安全警惕不再是可选项——它是抵御像 Silk Typhoon 这样的对手的唯一防御手段，这些对手距离您最敏感的数据只有一步之遥。