同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击

卡巴斯基安全团队披露，与朝鲜有关的APT组织Lazarus（拉撒路）针对韩国企业发起代号"SyncHole"（同步漏洞行动）的网络间谍活动，至少六家机构已遭入侵。该行动自2024年11月持续活跃，攻击者采用水坑攻击结合漏洞利用手段，主要针对IT、金融、半导体及通信行业，实际受害范围可能更广。

攻击技术剖析

1.初始入侵

• 通过韩国政府/银行网站强制安装的安全软件（如防键盘记录工具Cross EX）实施供应链攻击

• 利用内存注入技术将ThreatNeedle后门植入合法进程SyncHost.exe

• 触发韩国国家网络安全中心2023年就预警过的权限提升漏洞（参考公告[1][2]）

2.横向移动

• 借助韩国本土软件Innorix Agent的"一日漏洞"（漏洞公开后24小时内被利用）

• 使用Agamemnon下载器、wAgent、SIGNBT和COPPERHEDGE等多阶段恶意工具

攻击链特征

• 时间跨度：2024年11月至2025年2月期间集中爆发

• 战术特征：所有案例均呈现相同的Cross EX执行路径（v3.2.4.7版本）

• 地缘特性：专门针对韩国数字签名等强制安装的安全软件设计攻击链

卡巴斯基在报告中指出："去年11月首次发现针对韩国软件公司的攻击中，Lazarus将招牌后门ThreatNeedle注入合法进程，这成为后续五家机构沦陷的起点。" 研究人员确认攻击者通过被攻陷的媒体网站实施水坑攻击，最终借助恶意重定向和权限提升部署远控木马。

原文始发于微信公众号（黑猫安全）：同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击