国家网络安全中心(NCSC)和韩国国家情报局(NIS)就与朝鲜有关的 Lazarus 黑客组织活动发出严重警告。该组织利用目前广泛使用的 MagicLine4NX 软件中发现的零日漏洞,发动了一系列复杂的供应链攻击,影响了全球多个实体。
MagicLine4NX 软件由韩国 Dream Security 公司开发,是用于安全登录和数字交易的重要联合证书程序。网络攻击者利用该软件中的一个漏洞,在未经授权的情况下访问了目标组织的内网系统,并在此过程中破坏了很多安全认证系统。
联合公告显示,网络攻击者利用软件漏洞未经授权访问了目标组织的内网。他们利用 MagicLine4NX 安全认证程序进行初始入侵,并利用网络连接系统中的零日漏洞进行横向移动,获取更多的敏感信息。
此次攻击链始于"水坑漏洞攻击",这是一种黑客入侵特定用户经常访问网站的策略,此种情况下,国家支持的黑客会潜入到媒体的网站内,在文章中嵌入恶意的脚本,专门攻击针对使用特定 IP 范围的访问者。当访问者使用 MagicLine4NX 身份验证软件访问已被入侵的网站时,嵌入的代码就会执行,黑客就会完全控制该系统。
随后,攻击者利用系统漏洞,使连接网络的个人电脑访问黑客的互联网服务器。随后便通过网络连接系统的数据同步功能将恶意代码传播到业务端服务器。
尽管已经采取了各种安全措施,但威胁者仍能渗透到企业的PC中,其目的是为了获得企业内部敏感信息。
恶意软件会与两台 C2 服务器建立连接,其中一台是网络系统内的网关,另一台位于互联网外部。同时报告指出,恶意代码试图将数据从内部服务器转移到外部服务器,但被安全策略所阻止。如果恶意代码能够顺利进行,那么大量的内部的网络信息就可能会被泄露。
该警告也强调了此类攻击的严重性,并且还引用了与朝鲜有关联的 APT 组织之前的供应链入侵事件。值得注意的是,Labyrinth Chollima APT 将 VoIP 软件制造商 3CX 作为攻击目标,导致网络安全供应商将该流行软件检测为恶意软件。在另一起事件中,微软威胁情报研究人员曝光了由 APT Diamond Sleet (ZINC) 发起的供应链攻击。
参考及来源:https://www.cysecurity.news/2023/11/the-lazarus-hacking-groups-covert.html