朝鲜国家黑客组织Lazarus 被指攻击IT供应链
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
卡巴斯基的安全研究人员表示,朝鲜国家黑客组织正在攻击新目标,扩展其软件供应链攻击能力。
今年6月份,Lazarus 组织被指利用 BLINDINGCAN 后门的新变体攻击韩国某智库,之前5月份曾将其部署到拉脱维亚的一家 IT 厂商。研究人员指出,“在第一个案例中,Lazarus 组织开发了一个源自韩国合法安全软件的感染链并部署恶意 payload。在第二个案例中,目标是拉脱维亚一家开发资产监控解决方案的厂商,对于 Lazarus 组织而言,它并非典型的受害者。”
CISA 和 FBI 率先找到了用于这些攻击中的后门,发现该后门可从受陷系统中删除自身躲避检测、提取数据、攻击并终止进程,并篡改文件和文件夹的时间戳。
卡巴斯基发布第三季度的APT趋势报告指出,Lazarus 组织还传播使用 BLINDINGCAN 后门的COPPERHEDGE 远程访问木马 (RAT)。过去,Lazarus 组织还部署该RAT,攻击密币交易所和相关实体。该后门用于执行系统侦察任务、在受感染设备上运行任意命令并提取被盗数据。
Lazarus 组织(美国情报社区称之为HIDDEN COBRA)被指是由朝鲜政府支持的军事黑客组织,至少在2009年就已存在。
Lazarus 组织被指攻击多个高级别组织机构如索尼影业和全球多家银行,并被指在2017年协助发动全球 WannaCry 勒索攻击活动。近期,谷歌发现该组织在1月份通过社工攻击安全研究员,并在3月份发动类似攻击。另外,该组织还在3月份使用了新后门 ThreatNeedle 发动大规模网络间谍活动,攻击十几个国家的国防行业。6月份,该组织被指部署 MATA 恶意软件框架发动网络间谍活动。MATA 适用于 Windows、Linux 和 macOS 系统,曾用于2020年勒索攻击活动中的数据提取。
卡巴斯基的高级安全研究员 Ariel Jungheit 表示,“最近的动态说明了两点:一是,Lazarus 组织仍然对国防行业感兴趣,第二,该组织正在扩展其供应链攻击能力。如成功实施,则供应链攻击可造成毁灭性后果,影响不止一个组织机构,就像去年发生的 SolarWinds攻击事件那样。”
美国财政部在2019年9月制裁了三个被指受朝鲜支持的黑客组织:Lazarus、Bluenoroff 和 Andariel。美国政府还提供最高500万美元的悬赏,获取关于朝鲜黑客组织的情况,以阻断其攻击活动或对其进行识别或定位。
微软发现已遭在野利用的 SolarWinds 新0day
微软称 SolarWinds 黑客还在继续攻击 IT 企业
微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府
Node.js 沙箱易受原型污染攻击
攻击者接管账户,攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js
https://www.bleepingcomputer.com/news/security/north-korean-state-hackers-start-targeting-the-it-supply-chain/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。