英国国家网络安全中心(NCSC)和韩国国家情报院(NIS)11月23日发布联合警报称,朝鲜国家黑客继续利用流行软件应用程序中的零日漏洞,作为全球供应链攻击活动的一部分,以进行间谍活动和金融盗窃。联合警报描述了朝鲜国家相关网络行为者实施软件供应链攻击所使用的技术和策略,并称攻击的复杂性和数量正在不断增加,同时鼓励组织采取安全措施,以减少系统和数据受到损害的机会。NCSC和NIS认为这些供应链攻击旨在协调并极大地帮助实现更广泛的朝鲜国家优先事项,包括创收、间谍活动和盗窃先进技术。此前,英国和韩国宣布建立新的战略网络伙伴关系,两国承诺共同努力应对共同的网络威胁。据观察,攻击者利用第三方软件中的零日漏洞和漏洞,通过其供应链访问特定目标或任意组织。该通报提供了有关恶意活动的技术细节、最近来自朝鲜的攻击的案例研究以及有关组织如何减轻供应链危害的建议。韩国情报院称,朝鲜(DPRK)与国家相关的网络行为者瞄准软件供应连,这类产品广泛应用于政府机构、金融机构等全球国防工业公司。联合网络安全咨询 (CSA)将帮助用户提高公众安全意识,针对此类攻击做好预防措施。通报中指出了两个最近的典型攻击案例,一个与MagicLine4NX软件有关,另一个与3CX桌面应用程序相关。最近微软还披露了一起类似的攻击案例。2023年3月,Lazarus攻击者针对安装了存在漏洞的MagicLine4NX安全认证软件版本的特定群体发起了水坑攻击。它首先入侵了一家媒体组织,用恶意脚本毒害了一个网页,当安装了易受攻击的MagicLine4NX的用户访问该网页时,这些脚本会执行并通过C2基础设施为攻击者提供对受害者计算机的远程控制功能。然后,通过受感染的PC将进一步利用零日漏洞来破坏受害组织的内部网,所有这些都是为了窃取该组织的数据。该通报称:“恶意行为者利用网络连接系统的未公开漏洞和入侵内联网的合法功能,采用了高度复杂的作案手法。”MagicLine4NX攻击链图,由NCSC和NIS提供最终,安全策略阻止了攻击者尝试的关键活动,防止了大规模的数据盗窃事件。 该攻击本身是基于Lazarus发起的早期水坑攻击,然后针对INISAFE Web客户端,后续MagicLine攻击中使用的方法保持不变。尽管没有取得朝鲜所希望的成功,但该事件仍然证明了其利用复杂方法瞄准软件供应链的野心。今年广为人知的来自朝鲜的供应链攻击是3CX的桌面应用程序,随着时间的推移,该攻击逐渐被归咎于Lazarus,并且在3月份披露后的几周内收集到了更多证据。该事件影响了一些备受瞩目的目标,包括两个关键基础设施组织和金融贸易公司。这导致该公司建议客户改用其网络应用程序,避开桌面软件,直到有修复可用。除了复杂性之外,攻击本身还影响了3CX应用程序的Windows和macOS版本。Lazarus入侵了该公司,然后将恶意代码注入其安装程序中,该安装程序由用户通过合法渠道下载。Windows和macOS上的3CX攻击链图,由NCSC和NIS提供Windows和Mac版本的感染链相似。如果没有被篡改,这两个应用程序都会按正常方式安装,一旦安装,它们就会进入睡眠阶段(Windows为7天,Mac为7到20天),然后再将数据传输给攻击者。Windows恶意软件的能力更强,但两个版本都没有产生巨大影响。Windows攻击导致安装了浏览器窃取程序,并将基本系统数据、3CX帐户信息以及来自Brave、Chrome、Edge和Firefox的浏览器历史记录发送回Lazarus。对于Mac用户来说,只有3CX账户信息被盗。公告中写道:“负面影响是有限的,因为端点检测和响应解决方案很快就检测到了恶意更新。”建议采取一系列缓解措施,包括启用2FA、应用安全更新以及监控网络异常流量。就在发出这一警告的前一天(11月22日),微软发布了关于另一起朝鲜供应链攻击的报告,这次是针对讯连科技的多媒体软件。与3CX 的攻击类似,Lazarus于10月20日入侵了这家台湾科技公司并篡改了其安装程序。微软表示,该恶意安装程序已在美国、加拿大、日本和台湾等多个地区的100多台设备上执行。运行时,该软件会扫描受害者的系统,以查找 CrowdStrike Falcon、FireEye或Tanium EDR安全解决方案的证据。如果发现它们正在运行,恶意活动就会停止,软件会正常运行。如果受害者没有运行这三种安全产品中的任何一种,软件就会尝试下载嵌入在PNG文件的虚假标头中的第二阶段有效负载,并将其启动到内存中。然后,该有效负载尝试联系两个URL,这两个URL都是非法的,但之前已被该组织破坏。微软表示,尚未观察到此次供应链攻击导致的键盘操作活动,但它指出了Lazarus组织与NCSC和NIS相同的典型动机,表明了其潜在的最终目标。NCSC运营总监Paul Chichester表示:“在日益数字化和互联的世界中,软件供应链攻击可能会对受影响的组织产生深远的影响。”安全公司SentinelOne表示,攻击者对3CX的网络进行了长达一年的侦察,然后部署了名为SmoothOperator的信息窃取恶意软件。谷歌云旗下的事件响应组织Mandiant将3CX活动归咎于一个名为UNC4736的朝鲜组织,而威胁情报公司CrowdStrike使用代号“Labyrinth Chollima”追踪该组织,并表示该组织更普遍的名称是Lazarus Group。官员们表示,这次攻击被发现并被削弱的部分原因是受害组织发现了与外部命令和控制服务器通信的内部端点。该国的APT组织定期完善他们的策略和技术,这与供应链攻击相结合使他们变得特别强大。联合警报警告说:“由于攻击者使用合法的软件和硬件,因此很难检测到这些攻击。” “随着威胁程度可能增加,组织应该建立并实施相关的安全措施,以安全地管理产品的安全性并增强抵御攻击的能力。”英国和韩国网络安全机构建议的防御措施包括:开展供应链网络安全意识和培训、识别和设计针对最高风险的缓解措施、快速安装最新的安全更新、监控网络流量是否存在可疑活动以及使用双因素身份验证来阻止未经授权的用户登录,即使他们拥有有效的访问凭证。Lazarus是朝鲜国家支持的最多产的黑客团队之一,经常参与旨在资助该国核武器和导弹计划的攻击。专家表示,仅在2022年,平壤阵营的黑客就通过各种黑客活动窃取了至少价值17亿美元的数字资产。1.https://www.govinfosecurity.com/north-korean-hackers-chained-supply-chain-hacks-to-reach-3cx-a-217142.https://www.ncsc.gov.uk/news/uk-republic-of-korea-issue-warning-dprk-state-linked-cyber-actors-attacking-software-supply-chains3.https://eng.nis.go.kr/ECM/1_3_1_1.do?seq=83¤tPage=1
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247540845&idx=2&sn=de1c9904b876452096a989f411c13915&chksm=c1e9ac3cf69e252a6d842aa51e3b59800f7c0bf735d79db8727cbc17b36f15f4db3f226abf4b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh