朝鲜拉撒路集团瞄准供应链：新的企业网络入口点

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

随着网络安全威胁的不断演变，越来越多的攻击者开始将供应链公司作为渗透企业网络的关键切入点。最近，朝鲜著名的拉撒路集团（Lazarus Group）的活动再次证实了这一点。

拉撒路集团的新动向

卡巴斯基的安全研究人员近期发现了两起独立事件，均与拉撒路集团有关。在这两起事件中，该组织入侵了两家IT公司的网络，这可能是为了进一步危害其下游客户而采取的战略行动。

韩国安全软件供应商：在其中一起事件中，拉撒路集团成功侵入了一家韩国安全软件供应商的网络，并利用该公司的软件在一家韩国智库的网络上部署了名为Blindingcan和Copperhedge的远程访问木马（RAT）。美国网络安全和基础设施安全局（CISA）曾就这两种恶意软件发出过警告。

拉脱维亚IT资产监控产品供应商：另一起事件涉及拉脱维亚的一家IT资产监控产品供应商。拉撒路集团在此事件中同样使用了Copperhedge后门，并且采用了一个谨慎的多阶段过程，通过多层命令和控制服务器来仅在内存中加载和执行恶意软件。

尽管卡巴斯基无法确认拉撒路集团是否成功地通过这些供应商的产品感染了其他受害者，但这些发现表明该组织正积极开发供应链攻击的能力。

更广泛的供应链攻击趋势

拉撒路集团并非唯一一个将目光投向供应链漏洞的威胁行为者。例如，微软最近警告称，SolarWinds事件背后的俄罗斯间谍机构Nobelium正在针对云服务提供商发起新一轮攻击，试图通过这些服务提供商渗透到它们的客户网络中。

此外，卡巴斯基还发现了至少两个其他威胁行为者——HoneyMyte和BountyGlad——也在采取类似的策略：

HoneyMyte：该组织在南亚某国政府使用的指纹扫描仪安装包中植入了后门。

BountyGlad：这个组织则替换了数字证书管理软件客户端的合法安装程序，用以分发恶意代码。

历史上的供应链攻击

供应链攻击并非新鲜事物。历史上已有多个案例，如2019年的Barium事件，攻击者利用华硕的自动更新系统向用户分发恶意软件；以及2017年的CCleaner软件被用来传播恶意代码的情况。然而，直到2020年底SolarWinds事件爆发，供应链安全问题才真正引起了全球范围内的广泛关注。

为什么供应链攻击如此吸引人？

卡巴斯基首席安全研究员David Emm指出，供应链攻击之所以对高级持续性威胁（APT）组织具有吸引力，是因为它们破坏了供应商与其客户之间的信任关系。一旦攻击者能够利用受损的供应商作为跳板，便可以轻松进入更广泛的下游网络。

供应链攻击通常与其他类型的攻击一样，包括社会工程学和技术漏洞利用。不同之处在于，供应链攻击的目标不仅仅是一个单一的企业，而是整个生态系统的潜在受害者。

结论

随着拉撒路集团和其他威胁行为者的不断进化，企业和组织必须加强对供应链安全的关注。实施严格的供应商审核流程、定期进行安全评估以及保持警惕的态度将是抵御此类攻击的关键措施。只有这样，我们才能确保在日益复杂的网络环境中保护好自己免受侵害。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜拉撒路集团瞄准供应链：新的企业网络入口点