朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击
朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击"2023年3月,网络行为者利用安全认证和网络连接系统的软件漏洞串联,未经授权访问了目标机构的内网,"咨询描述道。"它利用MagicLine4NX安全身份验证程序的软件漏洞,首次入侵目标的互联网连接计算机,并利用网络链接系统的零日漏洞横向移动,未经授权访问信息"。这次攻击首先入侵了一家媒体的网站,在文章中嵌入恶意脚本,从而实现'灌水孔'攻击。当特定IP范围内的目标访问被入侵网站上的文章时,脚本会执行恶意代码,触发MagicLine4NX软件中的上述漏洞,影响1.0.0.26之前的版本。这导致受害者的计算机连接到攻击者的C2(命令和控制)服务器,使他们能够利用网络连接系统中的漏洞访问互联网服务器。朝鲜黑客利用该系统的数据同步功能,将信息窃取代码传播到业务端服务器,从而入侵目标组织内的个人电脑。植入的代码连接到两个C2服务器,一个作为中间网关,另一个位于互联网外部。恶意代码的功能包括侦察、数据外渗、从C2下载和执行加密载荷以及网络横向移动。攻击链条分析图/NCSC关于这次代号为"梦幻魔力"、由臭名昭著的Lazarus实施的攻击的详细信息,请参阅本AhnLab报告(仅提供韩文版):https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf有国家支持的朝鲜黑客行动一贯依赖供应链攻击和利用零日漏洞作为其网络战战术的一部分。2023年3月,人们发现"迷宫Chollima"(Lazarus的一个子组织)对VoIP软件制造商3CX进行了供应链攻击,入侵了全球多家知名企业。上周五,微软披露了针对讯连科技(CyberLink)的供应链攻击,Lazarus黑客组织利用该攻击发布了木马化、数字签名的假冒应用安装程序,使至少一百台电脑感染了"LambLoad"恶意软件。朝鲜黑客组织利用这类攻击针对特定公司,无论是网络间谍、金融欺诈还是加密货币盗窃。今年早些时候,网络安全咨询机构(CSA)警告说,朝鲜黑客攻击窃取的资金被用于资助该国的行动。"据机构评估,来自这些加密货币业务的不明金额收入支持朝鲜国家级优先事项和目标,包括针对美国和韩国政府的网络行动--具体目标包括国防部信息网络和国防工业基地成员网络,"CISA的一份咨询意见中写道。...PC版:https://www.cnbeta.com.tw/articles/soft/1399641.htm手机版:https://m.cnbeta.com.tw/view/1399641.htm
