入侵美國財政部的中國駭客現將目標轉向全球 IT 供應鏈

中國政府支持的駭客組織絲綢颱風 (Silk Typhoon) 正在進行的網路間諜活動開啟了危險的新篇章，該組織最近被指控與美國財政部入侵事件有關。微軟威脅情報團隊發出嚴厲警告，表示 Silk Typhoon 目前正在積極利用全球 IT 供應鏈滲透企業、進行監視並竊取敏感資料。

這項最新活動標誌著絲綢颱風的策略發生了令人擔憂的轉變。該組織並沒有直接攻擊防禦嚴密的雲端平台，而是將注意力轉向 IT 服務供應商、遠端監控和管理公司以及託管服務供應商 (MSP)——負責保護和維護全球企業網路的公司。

Silk Typhoon 如何滲透 IT 供應鏈

微軟的研究人員發現，Silk Typhoon 正在使用被盜的 API 金鑰、洩漏的憑證和特權存取權限來悄悄入侵 IT 公司。一旦進入內部，攻擊者就可以將觸角伸向下游客戶環境，使無數組織面臨風險。

這些攻擊不僅僅是機會主義的。 Silk Typhoon 展現了對混合環境的深度理解，能夠熟練地駕馭內部部署基礎設施和雲端服務。微軟觀察到該組織利用 Entra Connect（以前稱為 AADConnect）等合法工具來提升權限並維持長期存取權限。

透過這些切入點，絲綢颱風進行以下活動：

• 進行廣泛偵察，繪製內部系統地圖
• 跨網路橫向移動
• 電子郵件、文件共享和雲端儲存中的資料洩露
• 使用 Web Shell 和 OAuth 應用程式進行持久訪問

沒有強大的防禦，任何人都無法安全

微軟警告稱，即使不是直接目標的組織也可能透過其 IT 提供者成為附帶損害。如果您的企業依賴共享 IT 服務、薄弱的憑證管理或過時的軟體，那麼您可能已經處於危險之中。

從歷史上看，Silk Typhoon 成功攻擊了多種產品，包括 Microsoft Exchange 伺服器、VPN 設備和防火牆。該組織是美國財政部入侵事件的幕後黑手，其監視負責處理外國投資和製裁的辦公室，利用BeyondTrust和PostgreSQL等軟體中的漏洞。

絲綢颱風使用的先進戰術

絲綢颱風最近的活動凸顯了其日益成熟的技術。據微軟稱，該組織已被觀察到使用以下技術：

• 密碼噴灑攻擊和偵察，以發現在 GitHub 等公共儲存庫中發現的重複使用的公司密碼
• 感染的 OAuth 應用程式具有高級權限，可透過 MSGraph 竊取電子郵件、OneDrive 文件和 SharePoint 數據
• 多租戶應用程式受到攻擊，允許它們跨雲環境切換並存取不同組織中的敏感資源
• 濫用 Exchange Web 服務 (EWS) API 竊取電子郵件通訊訊息

這些攻擊尤其危險的原因在於 Silk Typhoon 能夠劫持已獲得用戶同意的應用程序，使其惡意活動融入正常操作中。

絲綢颱風威脅日益嚴重

微軟將「絲綢颱風」描述為全球最廣泛的中國威脅組織之一。憑藉強大的支援和快速利用零日漏洞的資源，他們給各個領域構成了重大威脅，包括州和地方政府、金融機構和 IT 服務提供者。

如何保護您的組織

鑑於這些發展，微軟敦促各組織：

• 審核 API 金鑰和 OAuth 應用程序，以確保沒有可疑或過度特權的訪問
• 實施嚴格的憑證衛生措施，包括定期更改密碼和多因素身份驗證 (MFA)

針對 IT 供應鏈的攻擊證明網路間諜活動不再只是針對知名政府實體的風險。如今，每個依賴共享基礎設施或第三方提供者的組織都必須將自己視為潛在目標。

網路安全警戒不再是可選項——它是抵禦像 Silk Typhoon 這樣的對手的唯一防禦措施，這些對手距離您最敏感的資料只有一步之遙。