朝鮮黑客利用0day漏洞對韓國企業實施供應鏈攻擊


英國國傢網絡安全中心(NCSC)和韓國國傢情報局(NIS)共同警告說,朝鮮Lazarus黑客組織利用MagicLine4NX軟件中的零日漏洞入侵一系列企業,實施供應鏈攻擊。MagicLine4NX是韓國DreamSecurity公司開發的一款安全認證軟件,用於企業的安全登錄。根據聯合網絡安全公告,朝鮮威脅分子利用該產品中的零日漏洞入侵他們的目標,主要是韓國機構。

"2023年3月,網絡行為者利用安全認證和網絡連接系統的軟件漏洞串聯,未經授權訪問目標機構的內網,"咨詢描述道。"它利用 MagicLine4NX 安全身份驗證程序的軟件漏洞,首次入侵目標的互聯網連接計算機,並利用網絡鏈接系統的零日漏洞橫向移動,未經授權訪問信息"。

這次攻擊首先入侵一傢媒體的網站,在文章中嵌入惡意腳本,從而實現'灌水孔'攻擊。

當特定IP范圍內的目標訪問被入侵網站上的文章時,腳本會執行惡意代碼,觸發MagicLine4NX軟件中的上述漏洞,影響1.0.0.26之前的版本。這導致受害者的計算機連接到攻擊者的 C2(命令和控制)服務器,使他們能夠利用網絡連接系統中的漏洞訪問互聯網服務器。朝鮮黑客利用該系統的數據同步功能,將信息竊取代碼傳播到業務端服務器,從而入侵目標組織內的個人電腦。植入的代碼連接到兩個 C2 服務器,一個作為中間網關,另一個位於互聯網外部。惡意代碼的功能包括偵察、數據外滲、從 C2 下載和執行加密載荷以及網絡橫向移動。

diagram.webp

攻擊鏈條分析 圖/NCSC

關於這次代號為"夢幻魔力"、由臭名昭著的 Lazarus 實施的攻擊的詳細信息,請參閱本 AhnLab 報告(僅提供韓文版):

https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf

有國傢支持的朝鮮黑客行動一貫依賴供應鏈攻擊和利用零日漏洞作為其網絡戰戰術的一部分。

2023 年 3 月,人們發現"迷宮 Chollima"(Lazarus 的一個子組織)對 VoIP 軟件制造商 3CX 進行供應鏈攻擊,入侵全球多傢知名企業。

上周五,微軟披露針對訊連科技(CyberLink)的供應鏈攻擊,Lazarus 黑客組織利用該攻擊發佈木馬化、數字簽名的假冒應用安裝程序,使至少一百臺電腦感染"LambLoad"惡意軟件。

朝鮮黑客組織利用這類攻擊針對特定公司,無論是網絡間諜、金融欺詐還是加密貨幣盜竊。

今年早些時候,網絡安全咨詢機構(CSA)警告說,朝鮮黑客攻擊竊取的資金被用於資助該國的行動。"據機構評估,來自這些加密貨幣業務的不明金額收入支持朝鮮國傢級優先事項和目標,包括針對美國和韓國政府的網絡行動--具體目標包括國防部信息網絡和國防工業基地成員網絡,"CISA 的一份咨詢意見中寫道。


相關推薦

2023-11-23

朝鮮國傢支持的黑客正在散佈臺灣軟件制造商訊連科技(CyberLink)開發的合法應用程序的惡意版本,以下遊客戶為目標。微軟的威脅情報團隊周三表示,朝鮮黑客已入侵訊連科技,散佈該公司修改過的安裝文件,這是影響廣泛的

2024-03-28

網絡安全專傢警告說,隨著國傢支持的黑客和網絡犯罪分子找到復雜的攻擊方式,零日漏洞(0day)變得越來越常見。Google的研究人員周三表示,他們在2023年觀察到97個這樣的高危並被利用的漏洞,而2022年隻有62個,增加50%。在 9

2022-08-30

,火絨安全實驗室懷疑此安全問題可能是供應鏈攻擊。即黑客可能使用某些方式劫持用友暢捷通 T+ 升級模塊,導致用戶嘗試更新升級將後門模塊下載到本地執行。目前用友並未就該問題發佈聲明 , 因此還無法確定到底是供應鏈

2023-10-28

Pwn2Own多倫多2023黑客大賽已落下帷幕,安全研究人員在10月24日至10月27日期間針對消費類產品進行58次零日漏洞利用(以及多次漏洞碰撞),共獲得103.85萬美元的收入。在趨勢科技零日計劃(ZDI)組織的 Pwn2Own 多倫多 2023 黑客大賽

2022-08-26

曾經制裁中心化混幣平臺 Blender,理由是 Blender 涉嫌幫助朝鮮知名黑客組織 Lazarus Group 清洗從 Axie Infinity 盜取的部分資產。Lazarus Group 是一個來自朝鮮的網絡黑客集團,在 2021 年共竊取價值超 4 億美元的加密貨幣。|來源:bleeping

2023-11-30

美國財政部已查封Sinbad加密貨幣混合服務,因為該服務被朝鮮Lazarus黑客組織用作洗錢工具。加密貨幣混合器是一種允許人們存入加密貨幣的服務器,加密貨幣混合在許多不同的錢包地址中,以幫助防止其被準確追蹤。混合服務

2022-08-03

覽器錢包和 Solana 生態系統,而後 CoinMarketCap 數據顯示:黑客攻擊事件曝光後兩個小時內,Solana 幣價跌去 8% 。且在過去 24 小時內,其交易量大漲 45% 。加密貨幣投資者兼分析師 Miles Deutscher 寫道:有個未知的 $SOL 漏洞正在利用 Ph

2022-08-03

黑客針對Solana生態系統,從數以千計的連接錢包中抽走加密貨幣資金。這種攻擊在區塊鏈平臺中很常見,但鑒於Solana作為交易數字資產的更快、更便宜的生態系統之一所吸引的贊譽,這一消息仍然很重要。Solana的官方Twitter賬戶

2022-09-13

們知道有報告說這個安全漏洞"可能已經被積極利用"。該漏洞(被追蹤為CVE-2022-32917)可能允許惡意制作的應用程序以內核權限執行任意代碼。一位匿名研究人員向蘋果公司報告,它在iOS 15.7和iPadOS 15.7、macOS Mo

2022-09-09

國、加拿大、日本地區多傢能源公司的網絡間諜活動和有朝鮮背景的黑客集團Lazarus存在關聯。威脅情報公司CiscoTalos本周四表示,觀察到Lazarus(也稱之為APT38)於今年2-7月期間,對美國、加拿大和日本地區的多傢能源供應商發起

2024-02-08

報告節選顯示,聯合國制裁監督員正在調查數十起疑似與朝鮮有關的網絡攻擊事件,這些攻擊斂財30億美元,幫助朝鮮進一步發展其核武器計劃。一個由獨立制裁監督員組成的小組向安理會委員會報告說,"朝鮮民主主

2024-02-15

擊。在最新發佈的研究報告中,微軟和OpenAI發現俄羅斯、朝鮮、伊朗和中國支持的組織試圖利用ChatGPT等工具研究目標、改進腳本並幫助構建社交工程技術。微軟在今天的一篇博文中說:"網絡犯罪集團、民族國傢威脅行動者

2024-03-05

韓國國傢安全機構3月4日表示,自2024年以來,朝鮮支持的網絡黑客已經滲透兩傢韓國半導體設備公司,或是為竊取韓國國內芯片制造項目的信息。韓國國傢情報局表示,朝鮮在2023年12月和2024年2月滲透兩傢公司的服務器,竊取其

2022-07-07

美聯邦調查局(FBI)、網絡與基礎設施安全局(CISA)和財政部(DoT)近日警告稱,有朝方背景的黑客組織,正在利用勒索軟件向美國各地的醫療保健機構和公共衛生部門發起攻擊。在周三發佈的聯合公告中,美政府機構指出,