北韓Lazarus組織利用已知安全漏洞攻擊軟體供應商

朝鮮的Lazarus駭客組織一直以來都是網路安全界的一個重要關注對象。最近，他們被認為是一場新的攻擊活動的幕後黑手。在這次活動中，一家未透露姓名的軟體供應商受到損害，因為利用備受關注的軟體中已知的安全漏洞。

根據卡巴斯基公司表示，這些攻擊最終導致SIGNBT和LPEClient等惡意軟體的部署，這些惡意軟體是威脅行為者用來進行受害者分析和有效負載傳輸的已知駭客工具。

安全研究員Seongsu Park指出，這次攻擊表現出了高度的複雜性，對手採用了先進的規避技術，並引入了SIGNBT惡意軟體來控制受害者。 SIGNBT惡意軟體採用了多樣化的感染鍊和複雜的技術。

據俄羅斯網路安全供應商透露，開發被利用軟體的公司曾多次成為Lazarus攻擊的受害者。這顯示有人試圖竊取原始碼或污染軟體供應鏈，類似於先前發生的3CX供應鏈攻擊。

Lazarus組織繼續利用該公司軟體中的漏洞，並瞄準其他軟體製造商。據稱，在最新的活動中，已有多名受害者被挑選出來。

據該公司表示，受害者是透過合法的安全軟體成為目標的，該軟體旨在使用數位憑證加密網路通信，但具體的軟體名稱並未公開。至今仍不清楚SIGNBT惡意軟體的具體傳播機制。

除了利用各種策略來建立和維持被感染系統的持久性外，攻擊鏈還利用記憶體載入程式作為啟動SIGNBT惡意軟體的管道。

SIGNBT惡意軟體的主要功能是與遠端伺服器建立聯繫並檢索進一步的命令，以在受感染的主機上執行。該惡意軟體在基於HTTP的命令和控制（C2）通訊中使用以」SIGNBT」為前綴的獨特字串命名，例如SIGNBTLG用於初始連接，SIGNBTKE用於收集系統元數據，SIGNBTGC用於獲取命令，SIGNBTFI用於通訊失敗，SIGNBTSR用於成功的通訊。

SIGNBT惡意軟體本身俱有多種功能，可用於控制受害者係統，包括進程枚舉、檔案和目錄操作，以及部署LPEClient和其他憑證轉儲實用程式等有效負載。

卡巴斯基公司表示，在2023年發現了至少三個不同的Lazarus活動，使用不同的入侵向量和感染程序，但始終依賴LPEClient惡意軟體來傳播最終階段的惡意軟體。

其中一個活動代號為Gopuram的植入程式透過利用3CX語音和視訊會議軟體的木馬版本，為針對加密貨幣公司的網路攻擊鋪平了道路。

這些最新發現只是與北韓有關的網路行動的最新例子，同時也證明了Lazarus組織不斷發展和擴大其工具、策略和技術庫。

Lazarus組織一直是一個高度活躍和多才多藝的威脅行為者，在當今的網路安全領域仍然是一個重要關注的存在。他們不斷改進攻擊技術，尋找新的目標和漏洞來利用。除了針對軟體供應商的攻擊，Lazarus組織也涉足其他領域，如金融機構和加密貨幣交易所。他們利用各種手段，包括社交工程、釣魚郵件和惡意軟體傳播，來竊取敏感資訊、盜取資金和進行間諜活動。

Lazarus組織的活動與北韓政府有關。據信，他們是北韓政府的授權實體，為政府提供網路攻擊能力，並幫助政府實現其政治和經濟目標。他們在過去幾年一直活躍，並且對於網路安全社群來說是一個重要的關注對象。

為了保護自己免受這類攻擊的影響，軟體供應商和其他潛在目標應採取一系列安全措施。這包括定期更新和修補軟體中的安全漏洞，實施強大的身份驗證和存取控制機制，培訓員工有關網路安全的最佳實踐，以及使用先進的入侵偵測和防禦系統。

此外，用戶也應保持警惕，避免點擊可疑或不明來源的鏈接，不下載來歷不明的附件，定期更新和維護其操作系統和應用程序，並使用可靠的安全軟體來保護其設備免受惡意軟體的侵害。

總的來說，Lazarus組織的活動顯示出網路威脅的不斷演變和升級。面對這些威脅，持續的安全意識和全面的防禦措施是至關重要的。