朝鲜国家黑客组织Lazarus 被指攻击IT供应链

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

卡巴斯基的安全研究人员表示，朝鲜国家黑客组织正在攻击新目标，扩展其软件供应链攻击能力。

今年6月份，Lazarus 组织被指利用 BLINDINGCAN 后门的新变体攻击韩国某智库，之前5月份曾将其部署到拉脱维亚的一家 IT 厂商。研究人员指出，“在第一个案例中，Lazarus 组织开发了一个源自韩国合法安全软件的感染链并部署恶意 payload。在第二个案例中，目标是拉脱维亚一家开发资产监控解决方案的厂商，对于 Lazarus 组织而言，它并非典型的受害者。”

CISA 和 FBI 率先找到了用于这些攻击中的后门，发现该后门可从受陷系统中删除自身躲避检测、提取数据、攻击并终止进程，并篡改文件和文件夹的时间戳。

卡巴斯基发布第三季度的APT趋势报告指出，Lazarus 组织还传播使用 BLINDINGCAN 后门的COPPERHEDGE 远程访问木马 (RAT)。过去，Lazarus 组织还部署该RAT，攻击密币交易所和相关实体。该后门用于执行系统侦察任务、在受感染设备上运行任意命令并提取被盗数据。

老旧恶意软件用于网络间谍活动

Lazarus 组织（美国情报社区称之为HIDDEN COBRA）被指是由朝鲜政府支持的军事黑客组织，至少在2009年就已存在。

Lazarus 组织被指攻击多个高级别组织机构如索尼影业和全球多家银行，并被指在2017年协助发动全球 WannaCry 勒索攻击活动。近期，谷歌发现该组织在1月份通过社工攻击安全研究员，并在3月份发动类似攻击。另外，该组织还在3月份使用了新后门 ThreatNeedle 发动大规模网络间谍活动，攻击十几个国家的国防行业。6月份，该组织被指部署 MATA 恶意软件框架发动网络间谍活动。MATA 适用于 Windows、Linux 和 macOS 系统，曾用于2020年勒索攻击活动中的数据提取。

卡巴斯基的高级安全研究员 Ariel Jungheit 表示，“最近的动态说明了两点：一是，Lazarus 组织仍然对国防行业感兴趣，第二，该组织正在扩展其供应链攻击能力。如成功实施，则供应链攻击可造成毁灭性后果，影响不止一个组织机构，就像去年发生的 SolarWinds攻击事件那样。”

美国财政部在2019年9月制裁了三个被指受朝鲜支持的黑客组织：Lazarus、Bluenoroff 和 Andariel。美国政府还提供最高500万美元的悬赏，获取关于朝鲜黑客组织的情况，以阻断其攻击活动或对其进行识别或定位。

推荐阅读

SolarWinds 攻击者开发的新后门 FoggyWeb

微软发现已遭在野利用的 SolarWinds 新0day

微软称 SolarWinds 黑客还在继续攻击 IT 企业

微软：SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

Node.js 沙箱易受原型污染攻击

攻击者接管账户，攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js

原文链接

https://www.bleepingcomputer.com/news/security/north-korean-state-hackers-start-targeting-the-it-supply-chain/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~