韩国国家网络安全中心 (NCSC) 警告称,朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。
参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45),它们是受国家支持的黑客组织,之前与臭名昭著的 Lazarus Group 有联系。
NCSC警告称:“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织,并指出这两个组织为了特定的政策目标同时瞄准同一领域,这是史无前例的 。”
带有木马的更新和安装程序
在该公告中重点介绍的第一起案件中,日期为 2024 年 1 月,Kimsuky 入侵了韩国建筑行业组织的网站,向访问者传播恶意软件。
根据ASEC 2 月份的报告,当员工试图登录该组织的网站时,他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名,从而有效绕过了防病毒检查。
当安装木马软件时,恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据(凭证、cookie、书签、历史记录)以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。
此次活动感染了韩国建筑公司、公共机构和地方政府的系统。
Kimsuky供应链攻击概述,资料来源:NCSC
第二起案件发生在 2024 年 4 月,当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。
NCSC 公告解释道:“2024 年 4 月,Andariel 黑客组织利用国内安全软件(VPN 和服务器安全)的漏洞,用恶意软件替换冒充更新文件,向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。”
NCSC 表示,该漏洞允许黑客向用户电脑发送欺骗数据包,用户电脑会将其错误地识别为合法的服务器更新,从而安装恶意版本。
DoraRAT 是一种轻量级远程访问木马 (RAT),其功能最少,因此可以更加隐秘地运行。
在特定攻击中观察到的变体被配置为窃取大型文件,例如机械和设备设计文档,并将其泄露到攻击者的命令和控制服务器。
Andariel 供应链攻击概述资料,来源:NCSC
NCSC 表示,可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策,并在最终分发阶段要求管理员身份验证。
其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告,以快速识别和阻止新出现的威胁。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q
暂无评论内容