警惕！朝鲜Lazarus组织SyncHole行动剑指韩国供应链

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络安全的暗战中，一场精心策划的攻击正在悄然上演。近日，卡巴斯基研究人员披露，与朝鲜相关的Lazarus组织发起名为“SyncHole行动”的网络间谍活动，韩国至少六家企业不幸成为其攻击目标，涉及IT、金融、半导体和电信等多个关键领域，网络安全形势再度拉响警报！

据悉，这场恶意活动至少从2024年11月就已悄然展开。Lazarus组织采用“水坑攻击”策略，利用软件漏洞，如同潜伏在暗处的猎手，等待着猎物上钩。卡巴斯基在发现这一威胁后，迅速通知了韩国互联网与安全局（KrCERT/CC）。经深入调查发现，攻击者利用Innorix Agent软件中仅存在一天的漏洞，在目标网络中进行横向移动，不断扩大攻击范围。

在此次攻击中，Lazarus组织祭出了一系列恶意“武器”，包括ThreatNeedle、Agamemnon下载器、wAgent、SIGNBT和COPPERHEDGE等多种黑客工具和恶意软件。卡巴斯基发布的报告显示：“去年11月，我们检测到Lazarus组织的标志性恶意工具ThreatNeedle的一个变种，被用于攻击一家韩国软件公司，这是我们发现的最初感染迹象。我们发现该恶意软件在合法进程SyncHost.exe的内存中运行，且是由韩国本土开发的合法软件Cross EX作为子进程创建的。这很可能是后续五家韩国企业遭受攻击的起点。”

在韩国，许多政府和银行网站为保障安全，要求用户安装特定的安全软件，用于防键盘记录和数字签名等功能。这些软件会持续在后台运行，也正因如此，成为了Lazarus组织眼中的“香饽饽”。该组织利用Cross EX软件的漏洞，针对性地发起“水坑攻击”。恶意软件的注入过程从Cross EX发起，并以高系统权限执行，疑似存在权限提升行为。其实早在2023年，韩国国家网络安全中心就已针对这些风险发布过相关警告，还与英国合作发出联合预警。而此次攻击事件，在2024年11月至2025年2月期间集中爆发，且都涉及相同的执行模式和Cross EX版本，显然是一场有组织、有预谋的攻击行动。

“SyncHole行动”主要分为两个阶段。初期，Lazarus组织使用ThreatNeedle和wAgent恶意软件；后期则切换为SIGNBT和COPPERHEDGE。研究人员表示，在首次攻击被及时发现并响应后，该组织迅速调整策略，在后续针对多个目标的频繁攻击中，部署了三条更新后的恶意软件攻击链。报告进一步指出：“基于对至少六家受影响企业的分析，我们总结出了四条不同的恶意软件执行链。在首次感染案例中发现的是ThreatNeedle恶意软件的变种，但在后续攻击中，SIGNBT恶意软件取而代之，标志着第二阶段的开始。我们认为这是因为我们对首个受害者采取了迅速且有力的应对措施。在后续攻击中，Lazarus组织引入了包含SIGNBT在内的三条更新后的感染链，攻击目标范围更广、频率更高。这表明该组织可能意识到精心准备的攻击已暴露，从而开始大范围利用相关漏洞。”

在攻击的第一阶段，攻击者使用了更新版本的ThreatNeedle、wAgent和Agamemnon恶意软件。ThreatNeedle被拆分为Loader和Core组件，采用先进的ChaCha20与Curve25519加密技术，还运用了系统持久化技术，增强其在目标系统中的存活能力；wAgent包含AES - 128 - CBC解密功能，并通过GMP库利用RSA算法；Agamemnon则采用Tartarus - TpAllocInject等新颖方法来传递有效载荷。此外，该组织还利用韩国本土软件Innorix Agent进行横向移动，将恶意软件伪装成合法服务，极具迷惑性。到了第二阶段，新引入的SIGNBT 1.2专注于有效载荷传递，并采用加密的C2通信；COPPERHEDGE则用于内部侦察。此次行动充分展现了Lazarus组织正在转向使用模块化、隐蔽性强且针对本土定制的恶意软件。

卡巴斯基的报告最后警示：“预计Lazarus组织针对韩国供应链的专项攻击在未来还将持续。我们过去几年的研究表明，韩国许多软件开发供应商已遭受攻击。一旦产品源代码被窃取，可能会不断发现新的零日漏洞。攻击者还在不断开发新的恶意软件或改进现有恶意软件，以降低被检测到的风险，尤其是在与C2的通信、命令结构以及数据收发方式上进行了强化。”报告中还公布了此次攻击的相关攻击指标（IoCs），为企业防范提供重要参考。

在数字化浪潮席卷全球的当下，网络安全已成为企业乃至国家发展的重要防线。此次“SyncHole行动”给我们敲响了警钟，无论是企业还是个人，都应时刻保持警惕，加强网络安全防护，不给恶意攻击者可乘之机！ 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！朝鲜Lazarus组织“SyncHole行动”剑指韩国供应链