根據微軟最新的威脅情報報告,中國支持的網路間諜組織 Silk Typhoon 已開始鎖定IT供應鏈上的組織,藉此獲取其下游客戶的存取權限。這一轉變令資安專家提出警告,因為此類攻擊手法透過濫用受信任的供應鏈關係,能有效規避傳統安全防護機制,使受害組織更難及時發現並阻斷攻擊行動。
Silk Typhoon 網路攻擊策略轉變
微軟自2024年底開始追蹤這項威脅活動,研究人員指出,Silk Typhoon 行動者在最新的攻擊行動中主要鎖定遠端管理工具、雲端應用程式、身分管理和特權存取管理(PAM)平台的供應商。
微軟在威脅情報部落格表示,雖然他們尚未被觀察到直接針對微軟雲端服務,但他們確實利用未修補的應用程式,使他們能夠提升在目標組織中的存取權限並進行進一步惡意活動。
微軟指出,此次行動包括竊取與PAM平台、雲端應用提供商和雲端資料管理公司相關的API金鑰和憑證。Silk Typhoon 隨後使用這些被盜的金鑰和憑證,滲透這些IT服務提供商的下游客戶網路。
Silk Typhoon 背景與目標
Silk Typhoon 是一個長期被資安業界監控的知名威脅組織,微軟先前曾將其稱為「Hafnium」。近期,該組織被連結至美國財政部的重大資安事件,攻擊者成功竊取第三方SaaS應用程式的API金鑰藉此入侵。
多年來,微軟和其他安全組織已將該組織與針對多個領域組織的攻擊聯繫起來,包括國防承包商、醫療保健、非政府組織、高等教育、法律事務所和公共政策智庫。2021年,該組織因利用微軟Exchange Server的四個零日漏洞(包括ProxyLogon的漏洞)進行定向攻擊而引起廣泛關注。
Silk Typhoon 的受害者包括美國和其他幾個國家的組織,包括澳洲、日本和越南。
IT供應鏈攻擊的技術細節
根據微軟的說法,Silk Typhoon 行動者使用被盜的API金鑰和其他憑證在下游客戶的網路中進行偵察,並收集中國政府感興趣的資料。這包括與美國政府政策和行政、法律程序以及與執法調查相關的文件等資料。
微軟威脅情報策略總監Sherrod DeGrippo表示,自2024年底以來,Silk Typhoon 一直使用從廣泛使用的IT應用程式中竊取的API金鑰,以及從遠端監控和管理工具中竊取的憑證。」此外,該威脅行動者還利用雲端應用程式提供商和雲端資料管理公司來實現攻擊。這種方法使威脅行動者能夠利用IT生態系統中的受信任關係,利用這些平台作為進入其客戶環境的入口。
DeGrippo表示,Silk Typhoon 在利用零日漏洞方面表現出相當高的熟練度。該組織過去利用的一些零日漏洞包括:Ivanti Pulse Connect VPN的CVE-2025-0282、Palo Alto Networks PAN-OS軟體的CVE-2024-3400、Citrix NetScaler ADC和NetScaler Gateway的CVE-2023-3519,以及微軟Exchange伺服器的多個零日漏洞,包括CVE-2021-26855和CVE-2021-26857。
DeGrippo補充,「Silk Typhoon 在初步入侵後使用多種管道竊取資料,其中包括從內部環境向雲端進行橫向移動、透過受到入侵的硬體設備和設備路由資料、使用隱蔽網路來混淆他們的活動,以及寄生攻擊技術,即使用受到入侵環境中現有的內建工具和服務。」
對Silk Typhoon 的新防禦挑戰
Silk Typhoon 轉向針對IT管理和雲端服務的供應鏈攻擊,有效地擴大了攻擊面,包括相互連接的供應鏈和第三方應用程式,也為防禦者帶來了特定的技術挑戰。
這意味著組織必須實施更強大的存取控制,並在其環境中建立更好的可見性。他們還必須具備快速檢測和回應涉及特權憑證、API金鑰和受到入侵的服務主體的未授權活動的能力。
Silk Typhoon 通常尋求與中國地緣政治利益一致的資料,專注於敏感材料,如政府政策、法律文件、知識產權和多個部門的戰略情報,包括政府、醫療保健、IT基礎設施和能源。
Silk Typhoon 的新戰術也表示著組織必須具備檢測環境中「寄生攻擊」戰術的能力。
這類攻擊對資安團隊的挑戰在於,必須能夠識別出看似正常的合法工具何時被惡意利用,包括辨識出已遭入侵但使用者毫不知情的合法帳號所進行的可疑活動。由於這些攻擊巧妙地利用受信任的工具和流程,使攻擊者能更快速且有效地達成目標。
防護建議
因應 Silk Typhoon 的新型攻擊方式,專家建議組織採取以下措施:
- 強化API金鑰和憑證的管理,包括定期輪換和監控異常使用情況
- 實施零信任架構,對所有存取請求進行嚴格驗證
- 增強對第三方IT供應商和雲端服務提供商的安全評估
- 部署進階的威脅檢測工具,特別是能夠識別合法工具被惡意使用的行為
- 保持系統和應用程式的及時更新,尤其是廣泛使用的IT管理工具和雲端服務
- 建立跨組織的資安情報共享機制,提高對供應鏈攻擊的整體警覺性
專家特別提醒,由於 Silk Typhoon 擅長利用零日漏洞和供應鏈關係,組織應將防禦焦點放在異常行為的檢測上,而非僅仰賴傳統的威脅指標。
資料來源:資安人