朝鲜黑客组织利用供应链攻击实施网络攻击

关键要点

根据微软研究人员的说法，朝鲜的通过将恶意软件附加到软件公司CyberLink的合法应用程序安装器，实施了一次供应链攻击。

根据微软的，该安全漏洞影响了包括美国、加拿大、日本和台湾在内的多个国家的100多台设备。微软的威胁情报小组将该黑客组织追踪为DiamondSleet。

这起事件是与朝鲜民主主义人民共和国（DPRK）有关的高级持续性威胁（APT）组日益增加的供应链攻击中的最新一起。

英国国家网络安全中心（NCSC）和韩国国家情报局（NIS）在一份中表示，与朝鲜国家有关的威胁组织正越来越多地依赖于供应链攻击来捕获他们的受害者。

这些攻击的“复杂性和数量正在增长”，机构在声明中表示。

声明称：“NCSC和NIS认为，这些供应链攻击与朝鲜国家的整体优先事项相一致，并在满足这些优先事项上发挥了重要作用，包括收入生成、间谍活动及高科技盗窃。”

“软件供应链网络攻击构成了重大威胁，因为它们可以通过一次初始的攻陷影响多个组织，并可能导致后续攻击，从而引发干扰或部署勒索软件。”

在LazarusGroup对多媒体软件开发商CyberLink的攻击中，微软的威胁情报小组表示，该APT在应用程序安装器中添加了恶意代码，下载、解密并加载了后续有效载荷。

该安装器名为LambLoader，于10月份发现，托管在CyberLink所拥有的合法更新基础设施上，并且针对未使用FireEye、CrowdStrike或Tanium安全软件的环境。

微软的研究人员表示，Lazarus Group使用了颁发给CyberLink Corp.的合法代码签名证书来对恶意可执行文件进行签名。

尽管研究人员尚未发现任何由威胁行为者在通过LambLoader攻陷设备后进行的直接操作，但他们指出该组织以从受害者环境中提取敏感数据、破坏软件构建环境、往下游传播进一步攻击以及在目标环境中建立持久性而闻名。

虽然NCSC和NIS的公告并未特别提到LazarusGroup，但这两个机构引用了今年3月“由朝鲜基于行为者进行的两个供应链攻击”，这两起事件已经被研究人员归因于Lazarus。

第一个是针对由韩国公司Dream Security开发的安全认证工具MagicLine4NX的攻击。

通过利用零日漏洞，威胁行为者得以攻陷一家媒体机构的网站，在该网站的一篇文章中植入恶意脚本，构成了一个。

机构称：“当受害者从连接互联网的计算机上打开被感染的文章，并安装了易受攻击的安全认证软件时，易受攻击的软件执行了恶意代码。”

“受害者计算机随后连接到指挥和控制（C2），攻击者利用C2实现了对被感染计算机的远程控制。”

AhnLab安全应急响应中心（ASEC）的研究人员于Lazarus。

在