마이크로소프트, 중국 해킹팀이 대만을 표적으로 삼고 있다고 밝혔습니다.

에 의해AJ 비센스

2023년 8월 24일

마이크로소프트 연구원들은 목요일 중국 정부와 연계된 것으로 의심되는 해킹 그룹이 사이버 스파이 활동의 ​​일환으로 대만에 있는 수십 개의 조직을 적극적으로 표적으로 삼고 있다고 밝혔습니다.

Microsoft가 중국에 본사를 둔 그룹을 설명하기 위해 사용하는 이름인 Flax Typhoon은 동남아시아, 북미 및 아프리카에서 일부 피해자가 관찰되었지만 주로 대만 조직에 대한 장기적인 액세스를 확보하고 유지하기 위해 노력하고 있다고 회사는 밝혔습니다. 목요일 블로그 포스팅. 이 그룹의 목표에는 정부 기관, 제조 회사 및 기술 회사가 포함됩니다.

이 소식은 바이든 행정부가 대만에 5억 달러 규모의 무기 패키지를 승인하고 대만 근처에서 새로운 중국 군사 훈련을 승인한 직후에 나온 것입니다. 3개월 전, 마이크로소프트와 정보 기관 연합은 중국과 연계된 해커들이 미국과 동아시아 군사 자산 사이의 통신을 단절하기 위한 토대를 마련할 수 있는 작전의 일환으로 괌의 통신 시스템을 표적으로 삼았다는 사실을 밝혔습니다.

목요일에 발표된 Microsoft의 보고서는 작업 시 최소한의 악성 코드를 사용하고 대신 "일반적으로 무해한 일부 소프트웨어와 함께" 피해자 시스템에 이미 내장된 도구를 사용하는 상당히 은밀한 공격자에 대해 설명합니다. Microsoft 연구원들은 그룹이 추가 작업을 수행하기 위해 대만 시스템에 대한 액세스를 사용하는 것을 관찰하지 않았지만 그룹이 "지역 외부의 다른 작업에서 쉽게 재사용할 수 있고 더 넓은 업계 가시성으로부터 이익을 얻을 수 있는 기술"을 사용하고 있다고 지적했습니다.

“이러한 위협에 대한 가시성을 통해 고객에게 탐지 기능을 배포할 수 있었지만 공격자의 활동 중 다른 부분에 대한 가시성이 부족했기 때문에 보안 생태계 전반에 걸쳐 추가 조사 및 보호에 대한 커뮤니티의 인식을 더욱 넓혀야 했습니다.” 블로그에서 말했다.

Flax Typhoon은 2021년 중반부터 활동했으며 China Chopper 웹 셸을 사용하는 것으로 알려져 있습니다. 연구원들은 이 웹 셸이 Microsoft Exchange에서 여러 제로데이 버그를 성공적으로 사용하는 국가 지원 중국 해킹 그룹인 Hafnium에서도 사용되었다고 밝혔습니다. 2021년 3월에 공개된 간첩 캠페인의 일부인 서버 소프트웨어. 그해 말, FBI는 하프늄 악성 코드를 제거하기 위해 피해자 서버를 해킹했습니다.

Flax Typhoon은 인기 있는 침투 테스트 프레임워크인 Metasploit을 사용해도 관찰되었습니다. Juicy Potato 권한 확대 도구; 데이터 유출 도구인 Mimikatz; Microsoft에 따르면 SoftEther 가상 사설망(VPN) 클라이언트도 포함됩니다.