外媒報告:揭露朝鮮黑客對供應鏈的攻擊
據觀察,由朝鮮政府發起的高級持續威脅 (APT) 組織 Lazarus Group 發起了兩次獨立的供應鏈攻擊活動,以此作為在企業網絡中立足并針對廣泛下游實體的手段。
最新的情報收集行動涉及使用 MATA 惡意軟件框架以及被稱為BLINDINGCAN和COPPERHEDGE 的后門來攻擊國防工業、位于拉脫維亞的 IT 資產監控解決方案供應商和位于韓國的智囊團。卡巴斯基發布的2021 年第三季度 APT 趨勢報告。
在一個例子中,供應鏈攻擊源于運行惡意負載的合法韓國安全軟件的感染鏈,導致 2021 年 6 月在智庫網絡上部署了 BLINDINGCAN 和 COPPERHEDGE 惡意軟件。研究人員表示,5 月份的拉脫維亞公司是 Lazarus 的“非典型受害者”。
目前尚不清楚 Lazarus 是否篡改了 IT 供應商的軟件以分發植入物,或者該組織是否濫用對公司網絡的訪問來破壞其他客戶。這家俄羅斯網絡安全公司正在 DeathNote 集群下跟蹤該活動。
那不是全部。在看似不同的網絡間諜活動中,還發現攻擊者利用多平臺MATA惡意軟件框架在受感染的機器上執行一系列惡意活動。研究人員指出:“攻擊者提供了一個已知被他們選擇的受害者使用的應用程序的木馬化版本,代表了 Lazarus 的一個已知特征。”
根據卡巴斯基先前的調查結果,MATA 活動能夠攻擊 Windows、Linux 和 macOS 操作系統,攻擊基礎設施使對手能夠執行多階段感染鏈,最終加載額外的插件,從而允許訪問大量信息,包括存儲在設備上的文件、提取敏感數據庫信息以及注入任意 DLL。
在 Lazarus 之外,一名疑似 HoneyMyte 的中文 APT 威脅參與者被發現采用了相同的策略,即修改了指紋掃描儀軟件安裝程序包,將PlugX后門安裝在某個未具名國家/地區政府機構的分發服務器上在南亞。卡巴斯基將供應鏈事件稱為“SmudgeX”。
發展之際,網絡攻擊瞄準了IT供應鏈已成為在2020年SolarWinds的入侵之后最關注的問題,強調要采取嚴格的賬號安全做法,并采取預防措施,以保護企業環境的需求。
