2021년 1월 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)의 보안 취약점을 활용해 제로데이 공격(Zero-day Attack)을 감행한 중국 연계 해킹 조직이 최근 기업 네트워크(Network)에 대한 초기 접근 경로로 IT 공급망(IT Supply Chain)을 겨냥한 공격을 확대하고 있습니다.

마이크로소프트 위협 정보팀(Microsoft Threat Intelligence Team)의 최신 보고서에 따르면, 과거 하프늄(Hafnium)으로 알려졌던 이 조직은 현재 실크 타이푼(Silk Typhoon)으로 불리며 원격 관리 도구(Remote Management Tools)와 클라우드 애플리케이션(Cloud Applications) 같은 IT 솔루션(Solutions)을 목표로 삼고 있다고 밝혔습니다.

마이크로소프트는 실크 타이푼이 피해 기업의 시스템(System)에 성공적으로 침투한 후 탈취한 키(Keys)와 자격증명(Credentials)을 이용해 고객 네트워크(Network)에 접근하고 다양한 애플리케이션(Applications)을 악용해 스파이 활동(Espionage)을 수행한다고 설명했습니다.

보고서에 따르면, 실크 타이푼은 기술적으로 뛰어나고 충분한 자원을 보유하고 있으며, 제로데이 취약점(Zero-day Vulnerabilities)을 신속히 이용하여 IT 서비스(Service) 및 인프라 기업(Infrastructure), 관리형 서비스 공급업체(Managed Service Providers), 의료(Healthcare), 법률(Legal Services), 고등교육(Higher Education), 방위(Defense), 정부(Government), 비정부기구(NGOs), 에너지(Energy) 등 전 세계 다양한 산업에 걸쳐 공격을 확장하고 있습니다.

실크 타이푼은 웹 셸(Web Shell)을 활용해 명령 실행(Command Execution), 지속적인 침투(Persistence) 및 데이터 유출(Data Exfiltration)을 수행하며, 클라우드 인프라(Cloud Infrastructure)에 대한 이해도를 바탕으로 횡적 이동(Lateral Movement) 및 정보 수집(Data Collection)을 적극적으로 진행하고 있습니다.

2024년 말부터 실크 타이푼은 도난당한 API 키(API Keys)와 클라우드 관리 자격증명(Cloud Management Credentials)을 이용해 고객사의 공급망을 공격하여 하위 고객 환경으로 침투하는 방식을 사용하고 있습니다.

실크 타이푼은 Ivanti Pulse Connect VPN(CVE-2025-0282), 팔로알토 네트웍스(Palo Alto Networks) 방화벽(CVE-2024-3400), 시트릭스(Citrix) NetScaler(CVE-2023-3519), 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)의 ProxyLogon 취약점 등을 활용하여 공격을 감행하고 있습니다.

초기 접근 이후 클라우드 환경(Cloud Environment)으로 이동하여 OAuth 애플리케이션(OAuth Applications)을 통해 MSGraph API를 이용해 이메일(Email), 원드라이브(OneDrive), 셰어포인트(SharePoint) 데이터를 유출합니다.

실크 타이푼은 악의적 활동(Malicious Activities)의 근원을 숨기기 위해 Cyberoam 장비, Zyxel 라우터(Routers), QNAP 장치 등으로 구성된 비밀 네트워크(CovertNetwork)를 활용하며, 웹 셸(Web Shells)을 통해 지속적으로 피해자의 환경(Victim Environments)에 접근하고 있습니다.

이러한 사이버 공격으로부터 안전을 유지하기 위해 기업은 IT 시스템과 클라우드 환경의 접근 관리, 정기적인 보안 점검 및 취약점 대응 조치를 강화해야 합니다. 사업자들은 사이버 보안 위험을 최소화하기 위해 IT 보안 전문가와 상담하는 것을 적극 권장합니다.