英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 警告称,朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的0day漏洞对企业进行供应链攻击。
MagicLine4NX是韩国Dream Security公司开发的一款安全认证软件,用于组织机构的安全登录。
根据联合网络安全咨询,朝鲜的APT组织利用产品中的0day漏洞来破坏其目标,主要是韩国机构。
该通报描述道:“2023 年 3 月,网络攻击者连续利用安全认证和网络链接系统的软件漏洞,对目标组织的内网进行未经授权的访问。 ”
“它利用MagicLine4NX安全认证程序的软件漏洞首次入侵目标的联网计算机,并利用联网系统的0day漏洞进行横向移动并获得未经授权的访问。”
这次攻击首先侵入一家媒体网站,将恶意脚本嵌入文章中,从而引发“水坑”攻击。
当特定 IP 范围的特定目标访问受感染网站上的文章时,脚本会执行恶意代码以触发 MagicLine4NX 软件中的上述漏洞, 影响 1.0.0.26 之前的版本。
这导致受害者的计算机连接到攻击者的 C2(命令和控制)服务器,允许他们通过利用网络链接系统中的漏洞来访问互联网端服务器。
朝鲜APT黑客利用该系统的数据同步功能,将信息窃取代码传播到业务侧服务器,从而危害目标组织内的PC。
删除的代码连接到两台 C2 服务器,一台充当中间网关,另一台位于互联网外部。
恶意代码的功能包括侦察、数据泄露、从 C2 下载和执行加密的有效负载以及横向网络移动。
攻击链 (ncsc.go.kr)
有关这次攻击的详细信息,代号为“Dream Magic”,归因于 Lazarus APT组织,可以参考在这份AhnLab 报告,该报告仅提供韩语版本。
朝鲜官方背景的黑客组织始终依赖供应链攻击和利用0day漏洞作为其网络战策略的一部分。
2023 年 3 月,人们发现 Lazarus 的一个子组织“Labyrinth Chollima”对 VoIP 软件制造商 3CX进行了供应链攻击 ,破坏了全球多家知名公司的安全。
上周五, 微软披露了针对讯连科技的供应链攻击,Lazarus 黑客组织利用该攻击分发木马化、数字签名的讯连科技安装程序,用“LambLoad”恶意软件感染至少一百台计算机。
朝鲜黑客组织利用此类攻击来针对特定公司,无论是网络间谍活动、金融欺诈还是加密货币盗窃。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/xvxw5BamJoZjNDgJRw6hYw
封面来源于网络,如有侵权请联系删除