【供应链安全】Lazarus组织转向IT供应链攻击

0x00 风险概述

2021年10月26日，卡巴斯基发布了2021年第三季度APT趋势报告。报告表示，6 月，朝鲜APT 组织Lazarus 使用 MATA 恶意软件框架攻击国防工业，以及使用更新的 DeathNote 集群的活动。这表明Lazarus仍然对国防工业感兴趣并转向供应链攻击 。

0x01 攻击详情

Lazarus Group至少从2009年开始活跃，并以针对高知名度的组织而闻名。该APT 组织一直在进行大规模的网络间谍活动和勒索软件活动，并被发现攻击国防工业和加密货币市场。此外，该组织也被认为是大规模 WannaCry 勒索软件攻击、2016 年的一系列 SWIFT攻击以及索尼影业黑客攻击的罪魁祸首。目前该APT 组织正致力于利用其多平台恶意软件框架（MATA框架）对供应链发起以网络间谍为重点的攻击。

MATA恶意软件框架可以针对三种操作系统：Windows、Linux和macOS。MATA在历史上被用来窃取客户数据库，并在各行业传播勒索软件。但在6月，卡巴斯基研究人员观察到Lazarus使用MATA进行网络间谍活动。

卡巴斯基研究人员还发现使用更新的 DeathNote 集群的活动，包括6 月份对韩国智库的袭击和5 月份对IT 资产监控解决方案供应商的攻击。在第一个案例中，研究人员发现感染链源于合法的韩国安全软件执行恶意的Payload；在第二个案例中，目标是一家在拉脱维亚开发资产监控解决方案的公司，该公司是 Lazarus 的非典型受害者。

DeathNote恶意软件集群包含更新的 BLINDINGCAN 后门变体。BLINDINGCAN是美国CISA之前报告的恶意软件，它还被用于交付 COPPERHEDGE远程访问木马 (RAT)的新变体。过去，Lazarus 在针对加密货币交易所和相关实体时也部署了相同的 RAT。卡巴斯基研究人员还发现，作为感染链的一部分，Lazarus使用了一个名为Racket的下载器，他们使用窃取的证书进行签名。

CISA于 2020 年 8 月公开披露了BLINDINGCANRAT的内置功能：

• 检索有关所有已安装磁盘的信息，包括磁盘类型和磁盘上的可用空间数量；

• 获取操作系统 (OS) 版本信息；

• 获取处理器信息；

• 获取系统名称；

• 获取本地IP地址信息；

• 获取受害者的媒体访问控制 (MAC) 地址；

• 创建、启动和终止一个新进程及其主线程；

• 搜索、读取、写入、移动和执行文件；

• 获取和修改文件或目录的时间戳；

• 更改进程或文件的当前目录；

• 从受感染的系统中删除恶意软件和与恶意软件相关的工件。

卡巴斯基研究人员表示，Lazarus 仍然对国防工业感兴趣，并且还希望通过供应链攻击来扩展其能力，但该APT 组织并不是唯一使用供应链攻击的组织，比如SmudgeX 和 BountyGlad等。

0x02 风险等级

高危。

0x03 影响范围

该APT组织针对全球范围内的国防工业和IT行业。

0x04 安全建议

通用安全建议

• 不要随意点击邮件或文档中的恶意链接，因为这可能会启动恶意软件执行。

• 非必要不要启用宏，因为它经常被作为恶意软件初始感染方法之一。

• 及时修复系统或应用的安全漏洞，避免被恶意软件利用。

• 针对APT和恶意软件攻击，建议应用相关安全产品进行检测和防护。

• 实时更新恶意软件和APT组织的相关指标，并使用最新的威胁情报信息，以实时了解攻击者所使用的TTP。

0x05 参考链接

https://securelist.com/apt-trends-report-q3-2021/104708/

https://www.bleepingcomputer.com/news/security/north-korean-state-hackers-start-targeting-the-it-supply-chain/

https://threatpost.com/lazarus-apt-it-supply-chain/175772/

https://securityaffairs.co/wordpress/123831/apt/north-korea-lazarus-supply-chain.html?

0x06 版本信息

0x07 附录

原文始发于微信公众号（维他命安全）：【供应链安全】Lazarus组织转向IT供应链攻击