마이크로소프트, 대만을 겨냥한 중국 기반 스파이 활동 경고

Microsoft는 Flax Typhoon이라는 중국 기반 위협 행위자 그룹의 소행으로 대만의 조직을 표적으로 삼는 사이버 스파이 활동을 발견했습니다. 회사 에 따르면 Flax Typhoon은 2021년부터 교육, 제조, IT 및 기타 분야의 정부 기관과 기업을 대상으로 활동해 왔습니다.

이 캠페인은 인터넷 연결 서버의 취약점을 악용하여 대상 네트워크에 대한 초기 액세스 권한을 얻습니다. 공격자는 익스플로잇을 사용하여 웹 셸을 배포하여 손상된 시스템에서 원격으로 명령을 실행할 수 있습니다. 네트워크 내부로 들어가면 Flax Typhoon은 다양한 기술을 사용하여 지속적인 액세스를 설정합니다.

핵심 방법은 “네트워크 수준 인증을 비활성화하고 고정 키 기능을 하이재킹”하여 원격 데스크톱 연결을 손상시키는 것입니다. 이를 통해 공격자는 재부팅 후에도 원격으로 시스템에 액세스할 수 있습니다. 또한 그룹은 제어를 위해 네트워크에 대한 터널을 생성하기 위해 VPN 소프트웨어를 설치합니다.

Flax Typhoon은 LSASS(Local Security Authority Subsystem Service) 프로세스 메모리와 SAM(Security Account Manager) 레지스트리 하이브를 대상으로 합니다. 두 저장소 모두 로컬 시스템에 로그인한 사용자의 해시된 비밀번호를 포함합니다.

Flax Typhoon은 보안이 부적절할 경우 이러한 저장소를 자동으로 덤프할 수 있는 공개 멀웨어인 Mimikatz를 자주 배포합니다. 결과 암호 해시는 오프라인으로 크랙되거나 PtH(Pass-the-Hash) 공격에 사용되어 손상된 네트워크의 다른 리소스에 액세스할 수 있습니다.

지속성을 확립한 후 Flax Typhoon은 자격 증명을 훔치는 데 중점을 둡니다. 이 그룹은 손상된 네트워크를 이해하고 활동 흔적을 제거할 가능성이 있는 시스템 복원 지점을 열거합니다. 그러나 마이크로소프트는 추가적인 데이터 유출 목표를 향한 공격자의 진행 상황을 관찰하지 못했다고 밝혔습니다.

Microsoft는 대상 고객에게 직접 알리고 Microsoft 365 Defender 를 통해 탐지 기능을 제공했다고 밝혔습니다 . 그러나 그룹이 유효한 계정과 합법적인 도구에 크게 의존하기 때문에 이 위협으로부터 방어하는 것은 어렵습니다.

이 소식은 미국 정부가 중국의 지원을 받은 이메일 침해 사건 에서 Microsoft의 역할을 조사하는 가운데 나왔습니다 . 미국 사이버 보안 자문 패널은 위반에 대한 Microsoft의 역할을 포함하여 클라우드 컴퓨팅의 잠재적 위험을 조사하고 있습니다.