ROK-UK Joint Cyber Security Advisory
英国与南韩在23日联手警告,北韩骇客攻陷南韩当地资安业者Dream Security所开发的身分验证软体MagicLine4NX的零时差漏洞,以作为攻击特定目标的跳板,就在前一天,微软才揭露北韩骇客Lazarus在今年10月,于台湾讯连科技的软体安装程式中植入恶意程式码,危害了全球逾100台装置。
根据英国国家网路安全中心(NCSC)与南韩国家情报院(NIS)的调查,北韩骇客近年来所执行的供应链攻击日益增加也愈来愈复杂,它们利用零时差漏洞与各种攻击程式来锁定被许多国际组织采用的软体供应链产品漏洞,主要目的为获利与搜集情报,包括窃取先进技术。NCSC与NIS仅说是北韩骇客,并未指名骇客组织。
其中一个先前未被揭露的攻击行动发生在今年3月,骇客先是危害了某个新闻网站,于特定的文章中植入了恶意脚本程式,而且只在特定IP范围的装置存取时才会发动攻击,当安装了MagicLine4NX的受害者点击文章时,就会执行恶意程式码,进而连至由骇客控制的C&C伺服器,继之骇客再透过另一个连网系统的零时差漏洞,在未经许可的情况下存取网路伺服器,再借由资料同步功能递送恶意程式,以窃取机密资讯。
图片来源/ROK-UK Joint Cyber Security Advisory
在此一攻击行动中,骇客先是透过水坑攻击过滤了受害者,接著再针对特定目标执行额外的攻击行动,攻陷了第一个供应链产品的零时差漏洞之后,再感染第二个供应链产品,利用连网系统的零时差漏洞与合法功能入侵内部网路。
另一个也被NCSC与NIS归类为出自北韩骇客之手的,是3CX所打造的桌面程式Electron,骇客在今年3月于Electron的更新程式中植入了恶意程式,手法类似讯连科技遭骇的过程。
NCSC与NIS建议,各大组织都应安装所有软体的安全更新,采用双因素身分验证,亦应监控网路基础设施以观察可疑流量,以防范相关攻击。