728x90
반응형

내용 요약

중국과 연계된 사이버 해킹 조직인 Silk Typhoon (Hafnium, Murky Panda)은 기존의 외곽 네트워크 침투 방식에서 벗어나 퍼블릭 클라우드 생태계 내부로 공격 전술을 확장하고 있습니다. 이들은 SaaS 및 파트너 권한을 악용하여 북미 지역의 주요 조직을 은밀히 공격하며, '신뢰 관계' 침해 기법을 사용합니다. 공격 과정은 인터넷에 노출된 장비 장악, SaaS 플랫폼 및 클라우드 아이덴티티 구조 분석으로 진행됩니다.

핵심 포인트

  • 공격 주체: 중국과 연계된 사이버 해킹 조직 (Silk Typhoon / Hafnium / Murky Panda)
  • 공격 대상: 북미 지역 주요 조직
  • 공격 방식:
    • 퍼블릭 클라우드 생태계 내부 공격
    • SaaS 및 파트너 권한 악용
    • '신뢰 관계' 침해 기법 사용
  • 공격 절차:
    1. 인터넷 노출 장비 장악
    2. SaaS 플랫폼 및 클라우드 아이덴티티 구조 분석

기술 세부 내용

1️⃣ Silk Typhoon (Hafnium, Murky Panda)

  • 중국과 연계된 사이버 해킹 조직을 지칭하는 여러 이름입니다.
    • Silk Typhoon: 마이크로소프트에서 사용하는 명칭입니다.
    • Hafnium: 또 다른 마이크로소프트 명칭일 가능성이 높습니다.
    • Murky Panda: 크라우드스트라이크에서 사용하는 명칭입니다.
  • 이들은 동일한 해킹 조직을 지칭할 가능성이 높으며, 보안 업계에서 조직의 활동을 추적하고 분석하기 위해 사용됩니다. ️‍♀️

2️⃣ 퍼블릭 클라우드 생태계 공격 ☁️

  • 기존의 외곽 네트워크 침투 방식에서 벗어나 클라우드 환경 내부로 공격 범위를 확장하는 것을 의미합니다.
  • 이는 클라우드 서비스의 복잡성과 상호 연결성을 악용하여 공격 표면을 넓히는 전략입니다.
  • 공격자는 클라우드 환경 내의 다양한 리소스와 서비스 간의 신뢰 관계를 활용하여 침투합니다.

3️⃣ SaaS (Software as a Service) 권한 악용

  • SaaS 플랫폼의 사용자 계정 및 권한을 탈취하거나, 취약점을 이용하여 시스템에 접근하는 것을 의미합니다.
  • 공격자는 합법적인 사용자인 것처럼 위장하여 내부 정보를 유출하거나, 악성 코드를 배포할 수 있습니다.
  • SaaS 환경의 보안 설정 미흡, 취약한 인증 방식 등이 악용될 수 있습니다. ️

4️⃣ 파트너 권한 악용

  • 클라우드 서비스 제공업체 또는 SaaS 기업의 파트너(협력사)가 가진 권한을 탈취하거나 악용하는 것을 의미합니다. ‍‍
  • 파트너는 고객 시스템에 대한 접근 권한을 가지는 경우가 많으므로, 공격자는 파트너를 통해 여러 조직을 동시에 공격할 수 있습니다.
  • 파트너의 보안 수준이 낮거나, 권한 관리가 허술한 경우 공격에 취약할 수 있습니다.

5️⃣ '신뢰 관계' 침해 기법

  • 클라우드 환경에서 서비스와 리소스 간에 존재하는 신뢰 관계를 악용하는 공격 기법입니다.
  • 예를 들어, 특정 서비스가 다른 서비스를 신뢰하도록 설정된 경우, 공격자는 신뢰받는 서비스의 취약점을 이용하여 다른 서비스에 접근할 수 있습니다.
  • API (Application Programming Interface) 키, 인증 토큰 등을 탈취하여 신뢰 관계를 악용할 수 있습니다.

6️⃣ 인터넷 노출 장비 장악

  • Shodan, Censys 와 같은 검색 엔진을 통해 인터넷에 노출된 취약한 장비를 식별하고, 이를 해킹하여 초기 침투 지점으로 활용합니다.
  • 장비의 기본 설정된 비밀번호를 변경하지 않거나, 최신 보안 패치를 적용하지 않은 경우 공격에 취약할 수 있습니다. ️
  • 라우터, VPN 장비, 서버 등이 주요 공격 대상이 될 수 있습니다.

7️⃣ 클라우드 아이덴티티 구조 분석 ️

  • 클라우드 환경의 사용자 계정, 그룹, 권한 등의 구조를 분석하여 공격 목표를 설정하고, 공격 경로를 파악합니다.
  • 클라우드 환경에서는 IAM (Identity and Access Management) 시스템을 통해 사용자 인증 및 권한 관리를 수행합니다.
  • 공격자는 IAM 설정을 분석하여 권한 상승 (Privilege Escalation) 공격을 시도하거나, 중요 데이터에 접근할 수 있는 계정을 찾습니다. ‍

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=169035

728x90
반응형
SMALL
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[보안뉴스][IP포토] 특허청 차장, 한국평가데이터 방문...AI 활용방안 모색  (1) 2025.08.24
[데일리시큐][긴급 세미나] 고려대, 프랙 공개 해킹 자료 긴급 분석…중국 해커 연루에 무게…보안불감증 한국 여전히 ‘쉬운 표적’  (0) 2025.08.24
[KRCERT]Apple 제품 보안 업데이트 권고  (0) 2025.08.22
[데일리시큐]애플, ImageIO 제로데이 취약점 긴급 패치…표적 공격에 악용 확인  (0) 2025.08.22
[보안뉴스][IP칼럼] 지식재산처 승격, 이것부터 따져야  (0) 2025.08.22

티스토리툴바