韩国遭 Lazarus Group 供应链攻击

Lazarus Group 也被称为 “Hidden Cobra”，它利用韩国互联网用户必须安装额外安全软件才能使用互联网银行服务和重要的政府服务的事实发动攻击。

该攻击的范围有限，利用的是WIZVERA VeraPort （“旨在集成和管理和互联网银行相关的安装程序“），如由银行和企业向个人颁发的数字证书来确保所有交易和进程支付的安全性。

这是 Lazarus Group 攻击韩国的最新举措，此前曾在2011年发动 Operation Troy、DDoS 攻击，在过去十年来攻击银行机构和密币交易所。

除了使用上述提到的安装安全软件的技术从合法但受陷网站上传播恶意软件外，攻击者还利用非法获得的代码签名整数签名恶意软件样本。其中一个样本颁发给了一家韩国安全公司的美国分公司 Dream Security USA。

研究人员指出，“攻击者将 Lazarus 恶意软件代码伪装成合法软件。这些样本拥有类似于韩国合法软件的文件名称、图标和资源。攻击者组合利用具有 WIZVERA VeraPort 支持的受陷网站和特定的 VeraPort 配置选项实施攻击。“

研究人员表示，攻击针对使用 VeraPort 的网站（也具有 base64 编码的 XML 配置文件，包含需安装的软件列表和相关联的下载 URL），攻击者攻陷具有恶意二进制的合法网站，替代了需交付给 VeraPort 用户的软件，之后被非法获得的代码签名证书签名，交付 payload。

研究人员注意到，“WIZVERA VeraPort 配置包含一个选项，在执行所下载二进制之前会验证它的数字签名，而在很多情况下，这一选项是默认启用的。然而，VeraPort 仅验证数字签名是合法的，而不会检查它属于谁。”

二进制随后下载恶意软件释放器，提取另外两个组件（一个加载器和一个下载器），加载器将下载器注入其中一个 Windows 进程 (“svchost.exe”) 中。下载器获取的最后阶段的 payload 以 RAT 的形式出现，它含有的命令可使恶意软件在受害者文件系统上执行操作并从攻击者武器库中下载并执行附加的工具。

另外，该攻击似乎是 Lazarus 发动的另外一起攻击 Operationi BookCodes 的延续。韩国互联网安全局今年4月份曾详述该攻击。本次攻击的 TTPs 和 C2 基础设施与之具有重大重叠之处。

研究人员总结称，“攻击者对攻击链攻击尤为感兴趣，因为他们同时可以在很多计算机上秘密部署恶意软件。支持 VeraPort 的站点所有人能够降低此类攻击的可能性，即使站点被攻陷也不例外：启用具体的选项即可（例如指定 VeraPort 配置中二进制的哈希）。“

完整报告请见：https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/