卡巴斯基发现由 Lazarus 黑客组织发起的针对韩国供应链的新型网络攻击

卡巴斯基全球研究与分析团队 (GReAT) 发现了一起由Lazarus发起的复杂的最新攻击活动，这些攻击活动结合了水坑攻击和第三方软件漏洞利用的方式，攻击目标为韩国的组织。研究过程中，公司专家还发现了韩国广泛使用的 Innorix Agent 软件中存在一个零日漏洞，目前该漏洞已紧急修复。此次发现于 GITEX 亚洲技术展上披露，研究结果凸显出 Lazarus 组织凭借对韩国软件生态的深入认知，能够实施高度复杂、多阶段的网络攻击。

卡巴斯基全球研究与分析团队（GReAT）一份最新报告显示，攻击者对韩国软件、IT、金融、半导体和电信等至少六个行业的组织机构实施了攻击。不过，实际受害企业数量可能更多。卡巴斯基研究人员将此次攻击行动命名为“SyncHole行动”。

Lazarus威胁组织至少从2009年就开始活跃，是一个资源丰富且臭名昭著的网络威胁组织。在近期攻击活动中，该组织被发现在利用Innorix Agent软件中的一个“一日漏洞”。该软件是一款集成于浏览器的第三方工具，广泛应用于行政和金融系统的安全文件传输。通过利用此漏洞，攻击者能够实现横向移动，从而能够在目标主机上安装额外的恶意软件。这会导致Lazarus标志性的恶意软件被部署到被攻击计算机上，例如ThreatNeedle和LPEClient，从而扩大了其在内部网络中的立足点。此次漏洞利用是整个攻击链的一环，通过Agamemnon下载器实施，并专门针对易受攻击的Innorix版本（9.2.18.496）。

在分析该恶意软件的行为时，卡巴斯基的全球研究与分析团队（GReAT）专家发现了另一个额外的任意文件下载零日漏洞，并在任何威胁参与者将其用于攻击之前成功识别。卡巴斯基已就Innorix Agent软件中存在的问题向韩国互联网振兴院（KrCERT）及软件供应商提交报告。此后，该软件已更新了补丁版本，而该漏洞的编号为 KVE-2025-0014。

卡巴斯基韩国区总经理Sean Lee表示：“诸如Lazarus等威胁正在利用第三方软件漏洞对关键行业发起复杂攻击，突显了高级网络安全威胁的严重性。随着韩国科技的快速发展，政府和私营企业应该加强合作，共享威胁情报和资源，以增强国家数字防御能力。此外，组织和企业不应仅停留在漏洞修补层面，而需采取更积极主动的防御策略，持续监控和评估其软件环境的安全态势。同时，网络安全事关全社会，有必要提高公众的安全意识，共同维护安全和经济稳定。”

“积极主动的网络安全方法至关重要，正是这种思维方式让我们能够在深度恶意软件分析中发现一个未知漏洞，在其出现任何被主动利用迹象之前就将其识别。及早发现此类威胁是防止系统受到更广泛破坏的关键，”卡巴斯基全球研究与分析团队（GReAT）安全研究员Sojun Ryu评论说。

在发现INNORIX相关的漏洞之前，卡巴斯基专家曾发现针对韩国的后续攻击中使用了ThreatNeedle变种和SIGNBT后门程序。该恶意软件运行在合法 SyncHost.exe 进程的内存中，并作为 Cross EX 的子进程创建，Cross EX 是一款合法的韩国软件，旨在支持在各种浏览器环境中使用安全工具。

对该活动的详细分析证实，韩国另有五家机构也持续遭受相同攻击途径的入侵。每个案例的感染链条都指向Cross EX软件中存在的潜在漏洞，表明该漏洞是整个攻击行动的初始感染点。值得注意的是，KrCERT 最近发布的安全公告证实了 CrossEX 中存在漏洞，该漏洞已在此次研究期间得到修复。

 “这些发现共同强化了一个更广泛的安全问题：第三方浏览器插件和辅助工具会大幅增加攻击面，尤其在依赖区域性软件或过时软件的环境中。这些组件通常以提升的权限运行，驻留在内存中，并与浏览器进程深度交互，这使得它们比现代浏览器本身对攻击者更具吸引力，也更容易成为目标，”卡巴斯基全球研究与分析团队（GReAT）总监Igor Kuznetsov评论说。

SyncHole攻击行动是如何开始的

Lazarus 组织利用通常被大量用户访问的被入侵在线媒体网站作为诱饵——这种技术被称为水坑攻击。威胁行为者会过滤传入流量以识别目标个人，选择性地将这些目标重定向到攻击者控制的网站，随后通过一系列技术操作启动攻击链。这种攻击方法凸显了该组织行动的高度针对性和战略性。