南韓發生供應鏈攻擊事件,北韓 APT 駭侵者竊取數位憑證,用以大規模散布惡意軟體

斯洛伐克資安廠商 ESET 旗下的資安專家,日前發現北韓駭侵團體 Lazarus 在南韓發動供應鏈攻擊行動,企圖藉由在南韓有極高安裝量的官方指定資安監控軟體 WIZVERA VeraPort,駭入受害者電腦並竊取機敏資訊。

ESET 發表的研究報告指出,WIZVERA VeraPort 是南韓政府指定使用於存取政府與銀行網路服務時必須安裝的資安監控驗證軟體;VeraPort 會自動安裝各種政府與金融機構網站所需的系統元件和資安軟體,但 VeraPort 在驗證網站的數位憑證時,只會檢查數位簽章本身的真偽,不會檢查誰擁有這個數位簽章。

駭侵團體 Lazarus 利用此一漏洞,近期在南韓發動供應鏈供擊;據研究報告指出,Lazurus 的駭侵手法如下:首先駭入已獲得 VeraPort 認證,且擁有合法數位簽的網站,然後在其惡意軟體中加上合法的數位簽章,並植入遭駭的網站中。一旦安裝了 VeraPort 的受害者電腦連線到該網站,就會自動下載並安裝含有合法數位簽章的惡意軟體。

受害者電腦被安裝惡意軟體後,接著會下載 Dropper 惡意軟體,在受害電腦中開啟可遠端控制的後門,以進行後續的駭侵攻擊,包括檔案與資料竊取,或是做為跳板執行其他駭侵攻擊。

相關連結

  1. TWCERT/CC
  2. Lazarus supply‑chain attack in South Korea
  3. Hacked Security Software Used in Novel South Korean Supply-Chain Attack
  4. Lazarus malware strikes South Korean supply chains
回到頂端