Το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) και η Εθνική Υπηρεσία Πληροφοριών της Κορέας (NIS) προειδοποιούν ότι η βορειοκορεατική ομάδα χάκερ Lazarus παραβιάζει εταιρείες χρησιμοποιώντας μια ευπάθεια zero-day στο λογισμικό MagicLine4NX για τη διεξαγωγή επιθέσεων στην αλυσίδα εφοδιασμού.
Το MagicLine4NX είναι ένα λογισμικό ελέγχου ταυτότητας ασφαλείας που αναπτύχθηκε από τη νοτιοκορεατική εταιρεία Dream
Security
, που χρησιμοποιείται για ασφαλείς συνδέσεις σε οργανισμούς.
Σύμφωνα με την κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο, οι φορείς απειλών που εδρεύουν στη ΛΔΚ χρησιμοποίησαν μια ευπάθεια μηδενικής ημέρας στο προϊόν για να παραβιάσουν τους στόχους τους, κυρίως τα ιδρύματα της Νότιας Κορέας.
“Τον Μάρτιο του
2023
, οι κυβερνοτελεστές χρησιμοποίησαν σε σειρά τις ευπάθειες λογισμικού του ελέγχου ταυτότητας ασφαλείας και των συστημάτων που συνδέονται με το δίκτυο για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο intranet ενός οργανισμού-στόχου.”
περιγράφει τη συμβουλευτική
.
“Χρησιμοποιούσε μια ευπάθεια λογισμικού του προγράμματος ελέγχου ταυτότητας ασφαλείας MagicLine4NX για την αρχική εισβολή σε έναν υπολογιστή συνδεδεμένο στο Διαδίκτυο του στόχου και εκμεταλλεύτηκε μια ευπάθεια zero-day του συστήματος που συνδέεται με το δίκτυο για να μετακινηθεί πλευρικά και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες.”
Η επίθεση ξεκίνησε με την παραβίαση του ιστότοπου ενός μέσου
ενημέρωση
ς για την ενσωμάτωση κακόβουλων σεναρίων σε ένα άρθρο, επιτρέποντας μια επίθεση «watering hole».
Όταν συγκεκριμένοι στόχοι από συγκεκριμένες περιοχές IP επισκέφτηκαν το άρθρο στον παραβιασμένο ιστότοπο, τα σενάρια εκτελούσαν κακόβουλο κώδικα για να ενεργοποιήσουν την αναφερόμενη ευπάθεια στο λογισμικό MagicLine4NX,
επηρεάζουν εκδόσεις πριν από την 1.0.0.26
.
Αυτό είχε ως αποτέλεσμα ο υπολογιστής του θύματος να συνδεθεί με τον διακομιστή C2 (εντολή και έλεγχος) των εισβολέων, επιτρέποντάς του να αποκτήσει πρόσβαση σε έναν διακομιστή από την πλευρά του Διαδικτύου εκμεταλλευόμενος μια ευπάθεια σε ένα σύστημα που συνδέεται με το δίκτυο.
Χρησιμοποιώντας τη λειτουργία συγχρονισμού δεδομένων αυτού του συστήματος, οι βορειοκορεάτες χάκερ διαδίδουν κώδικα κλοπής πληροφοριών στον διακομιστή της επιχείρησης, θέτοντας σε κίνδυνο τους υπολογιστές εντός του οργανισμού-στόχου.
Ο απορριφθέντος κώδικας συνδέθηκε με δύο διακομιστές C2, ο ένας λειτουργεί ως πύλη στη μέση και ο δεύτερος βρίσκεται εξωτερικά στο διαδίκτυο.
Η λειτουργία του κακόβουλου κώδικα περιλαμβάνει αναγνώριση, εξαγωγή δεδομένων, λήψη και εκτέλεση κρυπτογραφημένων ωφέλιμων φορτίων από το C2 και πλευρική κίνηση του δικτύου.
Διάγραμμα αλυσίδας επίθεσης
(ncsc.go.kr)
Λεπτομερείς πληροφορίες σχετικά με αυτήν την επίθεση, με την κωδική ονομασία «Dream Magic» και αποδίδεται στον Λάζαρο, μπορείτε να βρείτε σε αυτό
Αναφορά AhnLab
διαθέσιμο μόνο στα Κορεάτικα.
Εφοδιαστικές αλυσίδες Lazarus
Οι υποστηριζόμενες από το κράτος επιχειρήσεις πειρατείας στη Βόρεια Κορέα βασίζονται σταθερά σε επιθέσεις στην αλυσίδα εφοδιασμού και στην εκμετάλλευση των τρωτών σημείων zero-day ως μέρος των τακτικών κυβερνοπολέμου τους.
Τον Μάρτιο του 2023, ανακαλύφθηκε ότι η “Labyrinth Chollima”, μια υποομάδα της Lazarus, διεξήγαγε μια επίθεση αλυσίδας εφοδιασμού εναντίον της εταιρείας παραγωγής λογισμικού VoIP 3CX για να παραβιάσει πολλές εταιρείες υψηλού προφίλ σε όλο τον κόσμο.
Την περασμένη Παρασκευή, η Microsoft αποκάλυψε μια επίθεση αλυσίδας εφοδιασμού στο
CyberLink
που η ομάδα χάκερ Lazarus χρησιμοποίησε για τη διανομή trojanized, ψηφιακά υπογεγραμμένων προγραμμάτων εγκατάστασης CyberLink για να μολύνει τουλάχιστον εκατό υπολογιστές με το
κακόβουλο λογισμικό
«LambLoad».
Η βορειοκορεατική ομάδα hacking χρησιμοποιεί αυτούς τους τύπους επιθέσεων για να στοχεύσει συγκεκριμένες εταιρείες, είτε για κατασκοπεία στον κυβερνοχώρο, οικονομική απάτη ή κλοπή κρυπτονομισμάτων.
Νωρίτερα αυτό το έτος, το Cybersecurity Advisory (CSA) προειδοποίησε ότι τα κεφάλαια που κλάπηκαν σε επιθέσεις από βορειοκορεάτες χάκερ χρησιμοποιούνται για τη χρηματοδότηση των επιχειρήσεων της χώρας.
“Οι συντάκτες εκτιμούν ότι ένα απροσδιόριστο ποσό εσόδων από αυτές τις επιχειρήσεις κρυπτονομισμάτων υποστηρίζει προτεραιότητες και στόχους σε εθνικό επίπεδο της ΛΔΚ, συμπεριλαμβανομένων των επιχειρήσεων στον κυβερνοχώρο που στοχεύουν τις κυβερνήσεις των Ηνωμένων Πολιτειών και της Νότιας Κορέας. », διαβάζει ο αν
συμβουλευτική από την CISA
.
VIA:
bleepingcomputer.com