마이크로소프트는 중국의 사이버 스파이 그룹 'Silk Typhoon'이 전략을 바꾸어 원격 관리 도구와 클라우드 서비스를 공격하여 고객의 네트워크에 접근하고 있다고 경고했습니다. 이 기술 기업은 정부, IT 서비스, 의료, 국방, 교육, NGO, 에너지 등 다양한 산업 분야에서 침해 사례를 확인했습니다. 마이크로소프트의 보고서에 따르면, 'Silk Typhoon'은 패치되지 않은 애플리케이션을 이용하여 표적 조직에서 접근 권한을 높이고 악의적인 활동을 진행합니다.
'Silk Typhoon'은 미국 외국자산통제국(OFAC)을 해킹하고 미국 외국투자위원회(CFIUS)로부터 데이터를 도난당한 것으로 알려진 중국 국가 후원의 스파이 그룹입니다. 마이크로소프트는 'Silk Typhoon'이 그 시기에 전략을 바꾸어 IT 공급자, 신원 관리, 특권 접근 관리, RMM 솔루션 등의 API 키와 손상된 자격 증명을 이용하여 고객의 네트워크와 데이터에 접근하고 있다고 보고했습니다. 공격자들은 GitHub 저장소와 기타 공개 자원을 스캔하여 유출된 인증 키나 자격 증명을 찾아 환경을 침해하는 것으로 알려져 있습니다.
마이크로소프트는 'Silk Typhoon'이 클라우드 앱을 이용하여 데이터를 도난당하고 로그를 지우는 등의 새로운 전략을 사용하고 있다고 밝혔습니다. 이로 인해 공격자들은 매우 적은 흔적만 남기고 사라질 수 있습니다. 마이크로소프트의 관찰에 따르면, 'Silk Typhoon'은 초기 접근을 위해 취약점을 계속해서 이용하고 있습니다. 가장 최근에는 이 위협 그룹이 Ivanti Pulse Connect VPN 권한 상승 취약점(CVE-2025-0282)을 이용하여 기업 네트워크를 침해하는 것이 관찰되었습니다.
요약
- 마이크로소프트는 중국의 사이버 스파이 그룹 'Silk Typhoon'이 전략을 바꾸어 원격 관리 도구와 클라우드 서비스를 공격하고 있다고 경고했다.
- 'Silk Typhoon'은 미국 외국자산통제국(OFAC)을 해킹하고 미국 외국투자위원회(CFIUS)로부터 데이터를 도난당한 것으로 알려진 중국 국가 후원의 스파이 그룹이다.
- 마이크로소프트는 'Silk Typhoon'이 클라우드 앱을 이용하여 데이터를 도난당하고 로그를 지우는 등의 새로운 전략을 사용하고 있다고 밝혔다.
- 이 위협 그룹이 Ivanti Pulse Connect VPN 권한 상승 취약점(CVE-2025-0282)을 이용하여 기업 네트워크를 침해하는 것이 관찰되었다.
- 마이크로소프트는 'Silk Typhoon'의 최신 전략 변화를 반영한 침해 표시자와 탐지 규칙을 보고서에 업데이트하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.