Aggregator

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的。” 带有木马的更新和安装程序在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

内容转载