朝鲜相关黑客攻击建筑和机械行业，使用水坑攻击和供应链攻击

韩国国家安全和情报机构，包括国家情报院、检察院、警察厅、军事情报司和网络作战司，发布了一份联合网络安全警报，警告说朝鲜相关黑客利用VPN软件更新安装恶意软件在目标网络中。

根据韩国当局，金正恩政府的目标是从韩国盗取知识产权和商业秘密。朝鲜相关黑客组织正在攻击韩国的建筑和机械行业。警报中提供了攻击者使用的技术、技术和步骤（TTP），以及这些攻击的指标（IoC）。

警报中说：“自金正恩于2024年1月15日在第14届最高人民会议上宣布‘ Local Development 20×10 Policy’以来，朝鲜一直在推动20个城市和县每年建设现代化工业厂房。朝鲜黑客组织也在加强努力，以支持这个政策。”

警报中还说：“朝鲜黑客可能正在从韩国的建筑、机械和城市发展行业盗取数据，以支持他们的工业厂房建设和当地发展计划。”主要参与的黑客组织是金主（Kimsuky）和安达丽尔（Andariel），这两个组织都与 Reconnaissance General Bureau 相关。他们同时和目标攻击特定行业被认为是非寻常的，专家认为他们需要小心准备。

2024年1月，金主APT组被发现在韩国建筑行业协会的网站上分发恶意软件。恶意软件被 Concealed 在网站登录时使用的安全验证软件中。攻击目标是感染来自地方政府、公共机构和建筑公司的人员的PC。攻击结合了供应链攻击和水坑攻击，目标是攻击建设和设计专业人士常访问的网站。

警报中说：“当Tampered 安全验证软件安装文件执行时，DLL 形式的恶意软件将在%APPDATA% 目录中运行，along with legitimate programs。这款恶意软件在背景中 steal 信息，难以让用户注意恶意活动。”这款恶意软件使用 Go 编写，某些安全公司将其称为‘TrollAgent’。它具有收集系统信息、捕捉用户屏幕、收集浏览器存储的信息（密码、Cookie、书签、历史）等功能。它还可以盗取 GPKI 证书、SSH 密钥、Sticky Notes 和 FileZilla 信息从感染的PC中。”

研究人员还详细描述了另一个案例，发生在2024年4月，当安达丽尔黑客组织利用国内VPN和服务器安全软件中的漏洞，分布远程控制恶意软件DoraRAT到建筑和机械公司。攻击者操纵了VPN客户端-服务器通信协议， disguise malicious update文件为合法文件。被渗透的VPN客户端错误地接受了这些文件，从而执行了DoraRAT。

在攻击中使用的远程控制恶意软件（DoraRAT）简单轻量，集中于基本功能，如文件上传/下载和命令执行。它使用了水坑攻击技术，增加了其暴露。与更复杂的APT恶意软件不同，DoraRAT具有最小的功能。另外，文件盗取变种被识别出来，可以将与机械设备设计相关的大文件泄露出来。安达丽尔还利用了服务器安全产品的漏洞，展示了对IT管理软件进行大规模感染的趋势，因为它们具有高级访问和控制权。

官方提供的缓解措施如下：

• 在建筑和机械行业管理的网站需要从相关机构获取安全评估。

• 对所有组织成员，包括IT和安全人员，进行 ongoing安全培训是至关重要的。

• 保持操作系统和应用程序最新，使用实时检测的updated antivirus软件。

• 实施严格的软件分发政策，以防止自动部署中的漏洞。

• 及时了解政府网络安全警报，并按照制造商的建议进行行动。

• 请务必遵循国家当局提供的软件供应链安全和软件开发安全指南。

原文始发于微信公众号（黑猫安全）：朝鲜相关黑客攻击建筑和机械行业，使用水坑攻击和供应链攻击