Silk Typhoon (亦稱Hafnium、Murky Panda)是一個與中國國家安全部(MSS)有關聯的國家級駭客組織,自2023年以來持續針對北美地區的政府、科技、學術、法律及專業服務機構進行間諜活動。該組織在國際間最廣為人知的事件是2021年利用Microsoft Exchange Server零日漏洞(統稱ProxyLogon)發動的大規模攻擊,當時成功入侵約68,500台Exchange伺服器,影響範圍遍及全球。
近期最引人注目的行動是去年12月對美國財政部的攻擊。調查顯示,該次行動的主要目標是收集情報,特別是了解美國可能考慮制裁的中國個人和組織資訊,駭客設法存取與潛在制裁行動相關的非機密資訊和其他文件。
核心攻擊手法:雲端信任關係濫用
Silk Typhoon 先利用零日漏洞入侵SaaS供應商的雲端環境,接著深入分析該環境的邏輯架構,找出存取客戶資料的路徑。Silk Typhoon 特別會使用Entra ID管理SaaS應用程式存取權限的供應商環境。
在成功入侵後,Silk Typhoon 會竊取SaaS供應商的應用程式註冊密鑰(application registration secret)。透過這個密鑰,攻擊者能夠偽裝成該應用程式的服務主體,直接通過正常的驗證流程登入下游客戶環境。由於服務主體通常擁有存取客戶資料的合法權限,攻擊者可以無聲無息地讀取客戶郵件並竊取敏感資料,整個過程看起來就像正常的服務存取行為。
相關文章:中國駭客組織 Silk Typhoon 攻擊策略轉向,鎖定IT供應鏈
另一種攻擊手法涉及Microsoft雲端解決方案供應商的委派管理權限(DAP)濫用。攻擊者首先入侵具有DAP權限的供應商,特別鎖定Admin Agent群組中的高權限使用者帳戶。一旦取得該帳戶控制權,攻擊者就能獲得使用者的全域管理員權限。
利用這些權限,攻擊者會在受害者的帳號中建立新的使用者帳號,並將其加入預存的權限群組中。其中一個關鍵步驟是將後門帳戶加入具有Application Administrator權限的群組,這使得攻擊者能夠為既有的服務主體添加新的密鑰。透過控制這些新增的密鑰,攻擊者可以成功以服務主體身份進行驗證,進而將權限升級至該服務主體的層級,實現對郵件系統和應用程式資料的持續存取。
初始存取技術
Silk Typhoon 慣用多種技術手段獲得目標網路的初始存取權限。該組織經常利用網路暴露設備和服務的漏洞,如CVE-2023-3519,影響Citrix NetScaler ADC和Gateway的關鍵漏洞,該漏洞在CVSS評分系統中獲得9.8分的高危評級,允許未經驗證的遠端程式碼執行。此外,攻擊者也持續利用Microsoft Exchange的ProxyLogon漏洞以及CVE-2025-0282這個影響Ivanti Pulse Connect VPN的漏洞。值得注意的是,CrowdStrike在其報告的初版中曾提及該組織利用CVE-2025-3928漏洞攻擊Commvault Web Server,但隨後撤回了這項聲明。
在成功入侵後,攻擊者會部署Webshell工具來建立持續性存取。常用的工具包括Neo-reGeorg這個開源Webshell,以及常被中國間諜組織使用的China Chopper Webshell。這些工具使攻擊者能夠在受感染的伺服器上維持長期存在。
惡意軟體與操作技術
Murky Panda使用一款名為CloudedHope的客製化Linux遠端存取木馬,這個工具具備完整的受感染設備控制能力,並支援在網路中進行橫向移動。CloudedHope的設計顯示了Murky Panda開發針對性惡意軟體的技術能力。
Murky Panda業展現出強大的操作安全意識,採用多種技術來阻礙鑑識分析。攻擊者會系統性地修改檔案時間戳記並刪除相關日誌,使得事件回應團隊難以重建攻擊時間線和影響範圍。
為了進一步混淆攻擊來源,該組織會利用受感染的小型辦公室和家庭網路設備作為代理伺服器。這種技術使得惡意流量看起來像是從目標國家內部發起,有效地與正常網路流量混合,大幅降低被檢測的機率。
威脅趨勢分析
根據CrowdStrike 2025威脅獵捕報告的數據,雲端入侵事件出現了136%的驚人增長,其中相當大的比例來自中國相關的威脅行為者。Murky Panda是目前少數專門進行雲端信任關係入侵的追蹤威脅組織之一。
這類攻擊手法的威脅在於其罕見性造成的防護漏洞。相比憑證竊取或入侵對外服務等常見攻擊途徑,組織對雲端信任關係攻擊的監控明顯不足。駭客正好利用這項盲點,讓惡意行為更容易偽裝成正常的系統活動,藉此維持長時間的潛伏存取。
防護策略
組織需要建立針對Entra ID服務主體異常登入行為的監控機制,特別關注非正常時間或地點的服務主體驗證活動。同時,必須加強對Entra ID相關日誌的全面分析,建立能夠偵測跨租戶異常活動的監控體系,特別是涉及委派管理權限的操作。
所有雲端供應商帳戶都應強制執行多因素驗證,不應有任何例外。組織需要定期檢視並嚴格限制雲端服務供應商的權限範圍,遵循最小權限原則。定期的權限稽核也至關重要,特別是針對服務主體和應用程式註冊的權限配置進行系統性檢查。
組織必須即時修補雲端基礎設施的安全漏洞,尤其是可能導致遠端程式碼執行的高風險弱點。透過部署有效的網路分段機制,能夠阻斷駭客在內網的橫向擴散。同時,組織也需強化第三方雲端服務商的安全審查,將供應商的資安水準整合到企業的整體風險管控體系中。
威脅評估與展望
根據CrowdStrike的分析,Silk Typhoon 是一個技術精湛的高階威脅組織,能夠迅速將零日和已知漏洞轉化為攻擊工具,形成長期威脅。該組織濫用雲端信任機制的手法,對仰賴SaaS和雲端服務的企業造成嚴重威脅。
雲端信任關係本身就具有複雜且權限過廣的問題。服務主體、應用程式註冊及跨租戶權限等機制原本是為了簡化系統整合而設計,並未考量如何防範國家級駭客攻擊。這種設計缺陷造成系統性風險,一旦某個信任環節被突破,就可能引發連鎖反應,讓多個環境同時淪陷。
隨著企業加速雲端轉型,這種利用信任關係的攻擊手法預料將成為國家級威脅組織的主要武器。企業亟需重新檢視雲端安全架構,特別是供應鏈中的信任關係設定,並建置對應的監控與防護體系,才能有效因應這項新興威脅。
延伸閱讀:BeyondTrust調查API金鑰盜取事件,17個SaaS用戶受影響