首页 >> 网络安全 >>极客新闻 >> 朝鲜黑客涉嫌供应链攻击
详细内容

朝鲜黑客涉嫌供应链攻击

时间:2020-11-18     作者:Chinmay Rautmare   阅读

3.jpg

屏幕快照显示了与朝鲜黑客相关的供应链攻击中使用的一种被盗安全证书(来源:ESET)

据安全公司ESET的研究人员称,北韩黑客被怀疑使用被盗的数字证书对韩国的企业(包括金融公司)进行了新型供应链攻击。

对这次攻击中使用的工具以及选定的一些目标进行的分析使ESET将此战役归因于朝鲜拉撒路集团,追踪其活动的美国政府机构也将其称为“隐藏眼镜蛇”


在此最新活动中,黑客似乎使用了非法获取或被盗的代码签名证书来对用作攻击一部分的恶意软件样本进行签名。报告称,在至少一种情况下,被盗的证书似乎是从韩国一家安全公司的美国分支机构发出的。


ESET周一发布的报告称:“攻击者对供应链攻击特别感兴趣,因为攻击者可以使他们同时秘密地在多台计算机上部署恶意软件。”


虽然这是一种针对受害者的独特方法,但ESET报告指出,很难开展这类黑客攻击活动,他们认为这意味着该活动本身可能很有限。


ESET威胁研究人员Anton Cherepanov和PeterKálnai,在报告中指出:“使用这种方法成功部署恶意软件需要满足许多先决条件;这就是为什么在有限的Lazarus活动中使用它的原因。”


针对受害者

在ESET揭发的战役中,黑客们将Wizvera VeraPort安全软件作为目标,许多韩国政府机构以及一些银行将其用于其网站,并创建了一个安全的浏览器插件,可帮助验证该用户的身份。用户,根据报告。


报告称,在韩国,访问政府或银行网站时通常要求用户下载并安装其他安全软件,而Wizvera VeraPort是可用的工具之一。


研究人员指出,在活动的第一部分中,Lazarus尝试通过发送网络钓鱼电子邮件或使用其他允许文件安装恶意二进制文件的方式来破坏使用Wizvera软件的网站。


根据这些报告,一旦安装了这些二进制文件,然后就可以使用被盗的证书使Lazarus恶意软件对任何试图下载它的人都是合法的。


Cherepanov和Kálnai在报告中指出:“攻击者伪装了Lazarus恶意软件样本作为合法软件。” “这些样本具有与经常通过Wizvera VeraPort交付的合法韩国软件相似的文件名,图标和版本信息资源。”


该报告强调,但是,这些攻击仅针对使用Wizvera VeraPort的网站,而不针对软件公司本身。


报告说:“一旦下载,它们就会使用强大的密码算法(RSA)进行验证,这就是为什么攻击者无法轻易修改这些配置文件的内容或建立其假网站的原因。” “但是,攻击者可以替换从合法但已被破坏的网站提供给Wizver VeraPort用户的软件。我们认为这是Lazarus攻击者使用的方案。”


攻击难度

ESET报告指出,此攻击的复杂性(从窃取证书到使潜在受害者访问受感染站点)使这些类型的活动范围受到限制。


攻击还要求潜在的受害者必须已经在设备上安装了Wizvera Veraport软件,并且需要诱使他们访问包含恶意软件的受感染站点。


但是,如果执行了所有这些步骤,则会在受害者的设备上安装一个dropper,然后将其连接到由黑客控制的命令和控制服务器。根据该报告,然后安装了一个远程访问特洛伊木马或RAT,它可以充当后门或泄露数据。


ESET研究人员说:“这是受到攻击的网站与Wizvera VeraPort支持以及允许攻击者进行此攻击的特定VeraPort配置选项的结合,” ESET研究人员说。


拉撒路活动

Lazarus或Hidden Cobra被怀疑进行了一系列引人注目的攻击,包括2014年的Sony Pictures骇客以及2017年的WannaCry勒索软件攻击(请参阅:美国为N. Korea黑客信息提供500万美元的奖励)。


自这些攻击以来,美国联邦调查局(FBI)等美国政府机构已定期发布有关朝鲜资助的黑客的警告,并发布了与涉嫌与朝鲜合作的黑客组织相关的近30种恶意软件变种的数据(请参阅:立即使用新恶意软件进行WannaCry背后的小组)。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录