大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在网络安全的暗战中,一场精心策划的攻击正在悄然上演。近日,卡巴斯基研究人员披露,与朝鲜相关的Lazarus组织发起名为“SyncHole行动”的网络间谍活动,韩国至少六家企业不幸成为其攻击目标,涉及IT、金融、半导体和电信等多个关键领域,网络安全形势再度拉响警报!
据悉,这场恶意活动至少从2024年11月就已悄然展开。Lazarus组织采用“水坑攻击”策略,利用软件漏洞,如同潜伏在暗处的猎手,等待着猎物上钩。卡巴斯基在发现这一威胁后,迅速通知了韩国互联网与安全局(KrCERT/CC)。经深入调查发现,攻击者利用Innorix Agent软件中仅存在一天的漏洞,在目标网络中进行横向移动,不断扩大攻击范围。
在此次攻击中,Lazarus组织祭出了一系列恶意“武器”,包括ThreatNeedle、Agamemnon下载器、wAgent、SIGNBT和COPPERHEDGE等多种黑客工具和恶意软件。卡巴斯基发布的报告显示:“去年11月,我们检测到Lazarus组织的标志性恶意工具ThreatNeedle的一个变种,被用于攻击一家韩国软件公司,这是我们发现的最初感染迹象。我们发现该恶意软件在合法进程SyncHost.exe的内存中运行,且是由韩国本土开发的合法软件Cross EX作为子进程创建的。这很可能是后续五家韩国企业遭受攻击的起点。”
在韩国,许多政府和银行网站为保障安全,要求用户安装特定的安全软件,用于防键盘记录和数字签名等功能。这些软件会持续在后台运行,也正因如此,成为了Lazarus组织眼中的“香饽饽”。该组织利用Cross EX软件的漏洞,针对性地发起“水坑攻击”。恶意软件的注入过程从Cross EX发起,并以高系统权限执行,疑似存在权限提升行为。其实早在2023年,韩国国家网络安全中心就已针对这些风险发布过相关警告,还与英国合作发出联合预警。而此次攻击事件,在2024年11月至2025年2月期间集中爆发,且都涉及相同的执行模式和Cross EX版本,显然是一场有组织、有预谋的攻击行动。
“SyncHole行动”主要分为两个阶段。初期,Lazarus组织使用ThreatNeedle和wAgent恶意软件;后期则切换为SIGNBT和COPPERHEDGE。研究人员表示,在首次攻击被及时发现并响应后,该组织迅速调整策略,在后续针对多个目标的频繁攻击中,部署了三条更新后的恶意软件攻击链。报告进一步指出:“基于对至少六家受影响企业的分析,我们总结出了四条不同的恶意软件执行链。在首次感染案例中发现的是ThreatNeedle恶意软件的变种,但在后续攻击中,SIGNBT恶意软件取而代之,标志着第二阶段的开始。我们认为这是因为我们对首个受害者采取了迅速且有力的应对措施。在后续攻击中,Lazarus组织引入了包含SIGNBT在内的三条更新后的感染链,攻击目标范围更广、频率更高。这表明该组织可能意识到精心准备的攻击已暴露,从而开始大范围利用相关漏洞。”
在攻击的第一阶段,攻击者使用了更新版本的ThreatNeedle、wAgent和Agamemnon恶意软件。ThreatNeedle被拆分为Loader和Core组件,采用先进的ChaCha20与Curve25519加密技术,还运用了系统持久化技术,增强其在目标系统中的存活能力;wAgent包含AES - 128 - CBC解密功能,并通过GMP库利用RSA算法;Agamemnon则采用Tartarus - TpAllocInject等新颖方法来传递有效载荷。此外,该组织还利用韩国本土软件Innorix Agent进行横向移动,将恶意软件伪装成合法服务,极具迷惑性。到了第二阶段,新引入的SIGNBT 1.2专注于有效载荷传递,并采用加密的C2通信;COPPERHEDGE则用于内部侦察。此次行动充分展现了Lazarus组织正在转向使用模块化、隐蔽性强且针对本土定制的恶意软件。
卡巴斯基的报告最后警示:“预计Lazarus组织针对韩国供应链的专项攻击在未来还将持续。我们过去几年的研究表明,韩国许多软件开发供应商已遭受攻击。一旦产品源代码被窃取,可能会不断发现新的零日漏洞。攻击者还在不断开发新的恶意软件或改进现有恶意软件,以降低被检测到的风险,尤其是在与C2的通信、命令结构以及数据收发方式上进行了强化。”报告中还公布了此次攻击的相关攻击指标(IoCs),为企业防范提供重要参考。
在数字化浪潮席卷全球的当下,网络安全已成为企业乃至国家发展的重要防线。此次“SyncHole行动”给我们敲响了警钟,无论是企业还是个人,都应时刻保持警惕,加强网络安全防护,不给恶意攻击者可乘之机!
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):警惕!朝鲜Lazarus组织“SyncHole行动”剑指韩国供应链
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论