中国由来の Silk Typhoon の戦術:脆弱性悪用とパスワード・スプレーの採用

China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access

2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。

2025年3月5日のレポートで Microsoft は、「侵害の足がかりを得た Silk Typhoon は、盗み出したキーと認証情報を用いて顧客ネットワークへと侵入し、Microsoft サービスなどの導入済みアプリケーションを悪用してスパイ活動の目的を達成する。この攻撃グループは、”十分なリソースと技術力” を備えていると評価され、エッジ・デバイスのゼロデイ脆弱性を悪用して、日和見的な攻撃を迅速に達成し、多様な分野や地域への攻撃を拡大している」と述べている。

その攻撃の対象として挙げられるのは、米国などの IT Services and Infrastructure/RMM (Remote Monitoring and Management)/MSP (Managed Service Providers) に加えて、医療/法律/教育/電力/防衛/政府/NGO などである。

各種の Web シェルを用いる Silk Typhoon は、永続化とコマンド実行を達成し、被害者の環境からデータを抽出していることも確認されている。また、クラウド・インフラに対する深い理解を有しており、横方向の移動や重要データの収集も達成しているとされる。

遅くとも 2024年の後半以降において、この攻撃者は、新たな一連の手法を導入していることが判明している、その主なものは、PAM (Privilege Access Management)/クラウド・アプリ・プロバイダー/クラウド・データ管理に関連する、すでに盗み出されている API キーと認証情報を悪用し、下流に位置する顧客のサプライチェーンを侵害するというものだ。

Microsoft は、「この攻撃者は、API キーを介して取得したアクセスを悪用し、被害者の管理アカウントを介して、標的デバイスで偵察とデータ収集を実行した。その主たるターゲットは、州政府/地方政府/IT 分野に及んだ」と付け加えている。

Silk Typhoon のイニシャル・アクセスルートには、Ivanti Pulse Connect VPN の脆弱性 CVE-2025-0282 の侵害や、GitHub などのパブリック・リポジトリで漏洩したパスワードに紐づく、エンタープライズの認証情報へのパスワード・スプレー攻撃が含まれる。

この脅威アクターが、ゼロデイとして悪用した脆弱性には、以下のものがある:

  • CVE-2024-3400:Palo Alto Networks ファイアウォールのコマンド・インジェクションの脆弱性
  • CVE-2023-3519:Citrix NetScaler ADC/Gateway に存在する、未認証でのリモート・コード実行 (RCE) の脆弱性
  • CVE-2021-26855:Microsoft Exchange Server (別名 ProxyLogon)
  • CVE-2021-26857/CVE-2021-26858/CVE-2021-27065:Microsoft Exchange Server

イニシャル・アクセスを達成したが脅威アクターは、オンプレミス環境からクラウド環境へと、横方向に移動するための手順を実行する。続いて、管理者権限を持つ OAuth アプリケーションを利用して、MSGraph API 経由で Mail/OneDrive/SharePoint のデータを流出させる。

Silk Typhoon は、Cyberoam/Zyxel/QNAP などのデバイスを、先行して侵害している CovertNetwork を利用することで、悪意のアクティビティの起源を隠蔽している。この CovertNetwork も、中国政府により支援される攻撃者の一種である。

Microsoft は、「これらのアプライアンスに対する以前からの悪用と、最近の Silk Typhoon アクティビティの特徴は、さまざまな Web シェルの利用と持続性の確保にあり、被害者の環境への悪意のリモート・アクセスを確立している」と述べている。

本文中の “CovertNetwork” ですが、CovertNetwork-1658 (別名 Quad7) として追跡されているボットネットだそうです。 Microsoft のレポートでは、「侵害されたデバイスや、リースされたデバイスで構成される Egress IP の集合体であり、1つまたは複数の脅威アクターによって使用される可能性がある」と説明されていました。Silk Typhoon (旧 Hafnium) は、先月にも、 BeyondTrust への侵害が報じられています (2025/02/01:BeyondTrust のゼロデイ脆弱性:盗まれた API キー経由で 17社の SaaS 顧客に被害) 。よろしければ、China + APT で検索と併せて、ご参照下さい。