朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击

朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击"2023年3月,网络行为者利用安全认证和网络连接系统的软件漏洞串联,未经授权访问了目标机构的内网,"咨询描述道。"它利用MagicLine4NX安全身份验证程序的软件漏洞,首次入侵目标的互联网连接计算机,并利用网络链接系统的零日漏洞横向移动,未经授权访问信息"。这次攻击首先入侵了一家媒体的网站,在文章中嵌入恶意脚本,从而实现'灌水孔'攻击。当特定IP范围内的目标访问被入侵网站上的文章时,脚本会执行恶意代码,触发MagicLine4NX软件中的上述漏洞,影响1.0.0.26之前的版本。这导致受害者的计算机连接到攻击者的C2(命令和控制)服务器,使他们能够利用网络连接系统中的漏洞访问互联网服务器。朝鲜黑客利用该系统的数据同步功能,将信息窃取代码传播到业务端服务器,从而入侵目标组织内的个人电脑。植入的代码连接到两个C2服务器,一个作为中间网关,另一个位于互联网外部。恶意代码的功能包括侦察、数据外渗、从C2下载和执行加密载荷以及网络横向移动。攻击链条分析图/NCSC关于这次代号为"梦幻魔力"、由臭名昭著的Lazarus实施的攻击的详细信息,请参阅本AhnLab报告(仅提供韩文版):https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf有国家支持的朝鲜黑客行动一贯依赖供应链攻击和利用零日漏洞作为其网络战战术的一部分。2023年3月,人们发现"迷宫Chollima"(Lazarus的一个子组织)对VoIP软件制造商3CX进行了供应链攻击,入侵了全球多家知名企业。上周五,微软披露了针对讯连科技(CyberLink)的供应链攻击,Lazarus黑客组织利用该攻击发布了木马化、数字签名的假冒应用安装程序,使至少一百台电脑感染了"LambLoad"恶意软件。朝鲜黑客组织利用这类攻击针对特定公司,无论是网络间谍、金融欺诈还是加密货币盗窃。今年早些时候,网络安全咨询机构(CSA)警告说,朝鲜黑客攻击窃取的资金被用于资助该国的行动。"据机构评估,来自这些加密货币业务的不明金额收入支持朝鲜国家级优先事项和目标,包括针对美国和韩国政府的网络行动--具体目标包括国防部信息网络和国防工业基地成员网络,"CISA的一份咨询意见中写道。...PC版:https://www.cnbeta.com.tw/articles/soft/1399641.htm手机版:https://m.cnbeta.com.tw/view/1399641.htm

相关推荐

封面图片

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】

【朝鲜黑客组织利用Chrome0day漏洞攻击加密货币等机构】谷歌研究人员发现有2个朝鲜黑客组织利用了Chrome浏览器中的一个远程代码执行0day漏洞超过1月,用于攻击新闻媒体、IT公司、加密货币和金融科技机构。OperationAppleJeus利用同一个漏洞利用套件攻击了加密货币和金融科技行业的85个用户,并成功入侵了至少2个金融科技公司网站,并植入了隐藏的iframe。研究人员还发现攻击者搭建了一些伪造的网站来传播木马化的加密货币应用,隐藏了iframe并将访问者指向漏洞利用套件。
封面图片

【慢雾CISO:朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】

【慢雾CISO:朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】2023年09月15日03点40分9月15日消息,慢雾首席信息安全官23pds发文称,据创宇威胁情报团队反馈,朝鲜APT组织Konni利用WinRAR漏洞(CVE-2023-38831)首次攻击数字货币行业。朝鲜APT组织Lazarus早已将数字货币行业作为攻击目标,主要针对加密货币/金融相关行业的攻击。但是本次的攻击活动首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞(CVE-2023-38831),这也是首次发现有APT组织利用此漏洞进行攻击。联想下最近从Stake被攻击,在到coinex等被攻击充分说明朝鲜黑客在披露大规模攻击加密货币交易平台等,用户需提高警惕。
封面图片

韩国:朝黑客利用韩网银认证漏洞发起攻击

韩国:朝黑客利用韩网银认证漏洞发起攻击朝鲜黑客曾恶意利用韩国网上银行安全认证软件的安全漏洞,对国内外多个机构的电脑发起植入恶意代码等网络攻击。韩国国家情报院(国情院)星期四(3月30日)说,去年年底发现朝鲜恶意利用国内知名安全认证企业的安全软件漏洞,入侵国家机关、公共机构及军工、生物企业等国内外60多个主要机构的210多台电脑。据估算,全球有1000万台以上电脑安装这一权威安全认证软件。韩国国情院说,政府已从今年1月起采取应急措施,对恶意代码的运作原理等进行具体分析,并携手开发商发布安全补丁,建议各机构、企业和个人用户及时安装更新。
封面图片

朝鲜黑客组织用恶意软件攻击苹果计算机操作系统

朝鲜黑客组织用恶意软件攻击苹果计算机操作系统美国信息技术安全公司SentinelOne在其网站上发布的一份报告中宣布,发现黑客组织“Blunorov”最近针对苹果计算机操作系统(macOS)进行了黑客攻击。Bluenorov是朝鲜黑客组织Lazarus的附属组织,已知主要针对虚拟货币专家进行攻击。据报道,Blunorov通过两个被称为"Rustbucket"和"CandyCorn"的黑客行动传播恶意软件。该公司表示,这些行动中使用的代码都是苹果电脑操作系统专用的恶意软件,旨在入侵网络安全公司和加密货币交易所。
封面图片

俄罗斯黑客利用思科六年前的漏洞攻击美国政府机构

俄罗斯黑客利用思科六年前的漏洞攻击美国政府机构咨询报告说,黑客还入侵了"大约250名乌克兰受害者",这些机构没有透露姓名。APT28也被称为FancyBear,以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。根据联合公告,黑客利用了思科在2017年修补的一个可远程利用的漏洞,部署了一个被称为"美洲豹牙"的定制恶意软件,该软件旨在感染未打补丁的路由器。为了安装该恶意软件,威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。SNMP,即简单网络管理协议,允许网络管理员远程访问和配置路由器,以代替用户名或密码,但也可能被滥用来获取敏感的网络信息。一旦安装,该恶意软件就会从路由器中渗出信息,并提供对设备的隐秘后门访问。思科Talos的威胁情报总监MattOlney在一篇博文中说,这次活动是"一个更广泛的趋势,即复杂的对手将网络基础设施作为目标,以推进间谍活动的目标或为未来的破坏性活动做准备"的一个例子。"思科对网络基础设施的高精尖攻击率的增加深感担忧--我们已经观察到了,并且看到了由各种情报组织发布的许多报告所证实的情况--表明国家支持的行为者正在瞄准全球的路由器和防火墙,"奥尔尼补充说,除了俄罗斯之外,还有其他国家支持的黑客被发现在一些活动中攻击网络设备,例如利用Fortinet设备的一个零日漏洞,对政府组织进行了一系列攻击。...PC版:https://www.cnbeta.com.tw/articles/soft/1355749.htm手机版:https://m.cnbeta.com.tw/view/1355749.htm
封面图片

【DeBridge Finance指责被攻击未遂事件与朝鲜黑客Lazarus有关】

【DeBridgeFinance指责被攻击未遂事件与朝鲜黑客Lazarus有关】DeBridgeFinance联合创始人AlexSmirnov警告所有Web3团队,黑客活动可能很普遍。基于电子邮件的网络攻击、跨链协议deBridgeFinance的受害者表示,其调查显示该行动可能来自与朝鲜有关的LazarusGroup。攻击采取了欺骗deBridge联合创始人AlexSmirnov的电子邮件地址的形式。尽管大多数员工都报告了这封可疑电子邮件,但其中一名员工下载并打开了相关文件。Alex在一篇冗长的推特帖子中表示,deBridgeFinance已成为网络攻击未遂的目标,显然是由Lazarus组织发起的。“对所有的Web3团队的PSA,这个活动很可能是广泛存在的”。该公司对黑客的探测显示,与朝鲜的LazarusGroup在其他网络攻击中注意到的攻击载体相似。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人