大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
英国和韩国机构警告称,与朝鲜APT Lazarus 正在利用 MagicLine4NX 零日漏洞进行供应链攻击
国家网络安全中心(NCSC)和韩国国家情报院(NIS)发布联合警告称,与朝鲜有关的 Lazarus 黑客组织正在利用 MagicLine4NX 软件中的零日漏洞进行供应链攻击。
MagicLine4NX是由韩国Dream Security公司开发的联合证书计划。它使用户能够使用联合证书执行登录并对交易进行数字签名。
用户可以将该软件与各种应用程序集成,例如网络浏览器、电子邮件客户端和文件浏览器程序。
“2023年3月,网络攻击者串联利用安全认证和联网系统的软件漏洞,对目标组织的内网进行未经授权的访问。”联合公告中写道。 “它利用MagicLine4NX安全认证程序的软件漏洞首次入侵目标的联网计算机,并利用联网系统的零日漏洞进行横向移动并获得未经授权的信息访问。”
威胁行为者利用零日攻击来攻击世界各地的组织,主要是韩国实体。
该报告提供了有关攻击链的详细信息,该攻击链始于水坑攻击。
国家资助的黑客入侵了一家媒体网站,并将恶意脚本部署到一篇文章中。这些脚本仅针对使用特定 IP 范围的访问者。
当用户使用 MagicLine4NX 身份验证软件访问受感染的网站时,恶意代码就会执行,从而使攻击者能够完全控制系统。
随后,攻击者利用系统漏洞,从联网的PC上非法访问互联网侧服务器。
攻击者滥用联网系统的数据同步功能,将恶意代码传播到业务侧服务器。
随后,民族国家行为者利用恶意代码渗透到商用电脑中,旨在窃取信息。
最后阶段的恶意软件连接到两台C2服务器,一台是网络连接系统的业务侧服务器,充当中间网关,另一台位于互联网外部。
“这种恶意代码能够泄露初始信标数据并下载和执行加密的有效负载。然后,恶意代码尝试从网络链接解决方案的内部服务器移动到外部服务器,以将初始信标发送到 C2 服务器,但被解决方案的安全策略阻止。”报告继续。“如果没有被封锁,存储在内部网络中的大量信息可能会被泄露。”
与朝鲜有关的 APT 组织专注于供应链攻击,2023 年 3 月,Labyrinth Chollima APT 对 VoIP 软件制造商 3CX进行了供应链攻击。
截至 2023 年 3 月 22 日,SentinelOne 观察 到 3CXDesktopApp(一种流行的语音和视频会议软件产品)的行为检测量激增。
多家网络安全供应商的产品开始将流行软件检测为恶意软件,表明该公司遭受了供应链攻击。
上周,微软威胁情报研究人员披露了一起供应链攻击事件。这次攻击由与朝鲜有关的 APT Diamond Sleet (ZINC) 策划,涉及 CyberLink 软件的木马变体。
攻击者使用了合法讯连科技应用程序安装程序的恶意软件版本。
攻击者使用向讯连科技公司颁发的有效证书签署恶意代码。该安装程序托管在软件公司讯连科技拥有的合法更新基础设施上,包括限制执行时间窗口和逃避安全产品检测的检查。
据微软称,供应链攻击影响了多个国家/地区的 100 多台设备,包括日本、台湾、加拿大和美国。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT LAZARUS 在供应链攻击中使用 MAGICLINE4NX 零日漏洞
