朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击

朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击"2023年3月，网络行为者利用安全认证和网络连接系统的软件漏洞串联，未经授权访问了目标机构的内网，"咨询描述道。"它利用MagicLine4NX安全身份验证程序的软件漏洞，首次入侵目标的互联网连接计算机，并利用网络链接系统的零日漏洞横向移动，未经授权访问信息"。这次攻击首先入侵了一家媒体的网站，在文章中嵌入恶意脚本，从而实现'灌水孔'攻击。当特定IP范围内的目标访问被入侵网站上的文章时，脚本会执行恶意代码，触发MagicLine4NX软件中的上述漏洞，影响1.0.0.26之前的版本。这导致受害者的计算机连接到攻击者的C2（命令和控制）服务器，使他们能够利用网络连接系统中的漏洞访问互联网服务器。朝鲜黑客利用该系统的数据同步功能，将信息窃取代码传播到业务端服务器，从而入侵目标组织内的个人电脑。植入的代码连接到两个C2服务器，一个作为中间网关，另一个位于互联网外部。恶意代码的功能包括侦察、数据外渗、从C2下载和执行加密载荷以及网络横向移动。攻击链条分析图/NCSC关于这次代号为"梦幻魔力"、由臭名昭著的Lazarus实施的攻击的详细信息，请参阅本AhnLab报告（仅提供韩文版）：https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf有国家支持的朝鲜黑客行动一贯依赖供应链攻击和利用零日漏洞作为其网络战战术的一部分。2023年3月，人们发现"迷宫Chollima"（Lazarus的一个子组织）对VoIP软件制造商3CX进行了供应链攻击，入侵了全球多家知名企业。上周五，微软披露了针对讯连科技（CyberLink）的供应链攻击，Lazarus黑客组织利用该攻击发布了木马化、数字签名的假冒应用安装程序，使至少一百台电脑感染了"LambLoad"恶意软件。朝鲜黑客组织利用这类攻击针对特定公司，无论是网络间谍、金融欺诈还是加密货币盗窃。今年早些时候，网络安全咨询机构（CSA）警告说，朝鲜黑客攻击窃取的资金被用于资助该国的行动。"据机构评估，来自这些加密货币业务的不明金额收入支持朝鲜国家级优先事项和目标，包括针对美国和韩国政府的网络行动--具体目标包括国防部信息网络和国防工业基地成员网络，"CISA的一份咨询意见中写道。...PC版：https://www.cnbeta.com.tw/articles/soft/1399641.htm手机版：https://m.cnbeta.com.tw/view/1399641.htm

韩情报院：朝鲜对韩半导体公司发起黑客攻击

韩情报院：朝鲜对韩半导体公司发起黑客攻击韩国情报部门称，朝鲜从去年底开始，一直针对韩国半导体设备厂商集中发起网络攻击。综合路透社和韩联社报道，韩国国家情报院星期一（3月4日）披露，韩国两家半导体厂商的配置服务器和安全政策服务器，分别于去年12月和今年2月遭到黑客攻击，导致产品设计图和设备现场照等资料被盗。经调查发现，朝鲜黑客组织主要采取了“离地攻击”技术（LotL，LivingofftheLand）。这种技术最大限度地减少了恶意代码，并使用安装在服务器上的现有合法工具，从而躲过安全软件。韩国国家情报院说，自去年年底以来，韩国企业一直是朝鲜黑客的主要攻击目标，情报院呼吁企业加强安全防范。情报院在一份声明中说：“我们认为，朝鲜可能正准备生产自己的半导体，以应对国际制裁造成的采购困难。”另一方面，卫星和导弹等武器开发所带来的半导体需求增长，也促使朝鲜对韩半导体公司发动网络攻击。韩国总统尹锡悦此前警告，朝鲜可能发动网络攻击或散布假消息等挑衅活动，以干扰韩国今年4月的议会选举。朝鲜则否认参与网络犯罪。2024年3月4日5:24PM

慢雾：警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

韩媒：韩近三年遭朝网络攻击 钓鱼电邮逾七成

韩媒：韩近三年遭朝网络攻击钓鱼电邮逾七成韩国国家情报院的数据显示，在2020年至2022年朝鲜对韩国发起的网络攻击中，利用仿冒电子邮件的黑客攻击占74%。韩联社报道，根据韩国国家情报院（下文称国情院）星期四（5月25日）发布的数据，朝鲜黑客仿冒电邮地址最多的是门户网站Naver，占45%；其后分别为门户网站DAUM，占23%；金融机构、企业和传媒占12%；外交和安全相关机构占6%。国情院指出，朝鲜冒充Naver客服中心、DAUM游戏负责人等身份，诱导收件人阅读电邮。国情院对一名朝鲜黑客的电子邮箱进行调查后发现，该黑客保存了4100多名韩国用户的电邮地址，并向其发送1万多封诈骗邮件。除前任、现任外交国安相关人士外，大学教授、教师、学生和上班族也在其列。此外，利用网络安全漏洞的攻击占20%；访问特定网页时被植入恶意代码的攻击占3%；供应链攻击占2%。之前有韩媒报道指出，朝鲜领导人金正恩十分重视网络战的作用。他在2013年曾说：此后朝鲜黑客攻击能力迅速增长。

Google安全小组发现朝鲜黑客利用了IE浏览器10月份爆出的零日漏洞

Google安全小组发现朝鲜黑客利用了IE浏览器10月份爆出的零日漏洞InternetExplorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和WindowsServer2008至2022机器上依然存在漏洞。当题为"221031首尔龙山梨泰院事故应对情况（06:00）.docx"的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。该文件利用了在"jscript9.dll"（InternetExplorer的JavaScript引擎）中发现的InternetExplorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。TAG在博文中说，它"没有获得这次攻击活动的最终载荷"，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。...PC版：https://www.cnbeta.com.tw/articles/soft/1334655.htm手机版：https://m.cnbeta.com.tw/view/1334655.htm

【慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】

【慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】2024年04月28日02点46分老不正经报道，慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。