微軟威脅情報中心最新公布的調查報告指出,中國駭客組織Silk Typhoon近期已將攻擊目標轉向IT供應鏈,並透過零時差漏洞與憑證竊取等方式,試圖進一步入侵企業的雲端環境。微軟在2024年底發現Silk Typhoon開始大量攻擊雲端服務供應商、遠端管理工具與特權存取管理系統,並在成功取得相關API金鑰及管理憑證後,進一步入侵下游客戶的雲端帳號與內部系統,執行橫向移動與資料竊取行動。
報告指出,Silk Typhoon在中國境外的活躍度高,目標涵蓋美國在內的多個國家,產業遍及政府機關、醫療、能源、高等教育等領域。Silk Typhoon自2021年以來,已多次利用微軟Exchange、Citrix NetScaler及Palo Alto Networks等企業IT設備的零時差漏洞發動攻擊,今年1月又被發現利用Ivanti Connect Secure的零時差漏洞CVE-2025-0282,成功入侵多個企業內網。
此外,Silk Typhoon也透過密碼潑灑攻擊(Password Spray)與網路上公開洩漏的憑證資訊,對企業帳號發動滲透攻勢。報告強調,該組織善於從受害組織內部取得高權限帳號後,透過服務主體(Service Principal)與OAuth應用程式取得雲端環境控制權,藉此竊取企業內部的電子郵件、OneDrive及SharePoint資料,並設法建立長期滲透與持續竊取能力。
微軟提醒企業IT人員,針對此類供應鏈攻擊應強化漏洞修補流程,特別是確保所有公開面向的設備完成安全更新,同時必須嚴格審核內部服務主體、OAuth應用程式權限,並妥善管理內部高權限帳號。微軟也建議企業採用多因素驗證,並利用各種安全工具加強異常行為監控,以降低遭受此類攻擊的風險。
熱門新聞
2025-03-03
2025-03-03
2025-03-03
2025-03-05
2025-03-05