關(guān)鍵詞

黑客

卡巴斯基全球研究與分析團(tuán)隊 (GReAT) 發(fā)現(xiàn)了一起由Lazarus發(fā)起的復(fù)雜的最新攻擊活動，這些攻擊活動結(jié)合了水坑攻擊和第三方軟件漏洞利用的方式，攻擊目標(biāo)為韓國的組織。研究過程中，公司專家還發(fā)現(xiàn)了韓國廣泛使用的 Innorix Agent 軟件中存在一個零日漏洞，目前該漏洞已緊急修復(fù)。此次發(fā)現(xiàn)于 GITEX 亞洲技術(shù)展上披露，研究結(jié)果凸顯出 Lazarus 組織憑借對韓國軟件生態(tài)的深入認(rèn)知，能夠?qū)嵤└叨葟?fù)雜、多階段的網(wǎng)絡(luò)攻擊。

卡巴斯基全球研究與分析團(tuán)隊（GReAT）一份最新報告顯示，攻擊者對韓國軟件、IT、金融、半導(dǎo)體和電信等至少六個行業(yè)的組織機(jī)構(gòu)實施了攻擊。不過，實際受害企業(yè)數(shù)量可能更多?？ò退够芯咳藛T將此次攻擊行動命名為“SyncHole行動”。

Lazarus威脅組織至少從2009年就開始活躍，是一個資源豐富且臭名昭著的網(wǎng)絡(luò)威脅組織。在近期攻擊活動中，該組織被發(fā)現(xiàn)在利用Innorix Agent軟件中的一個“一日漏洞”。該軟件是一款集成于瀏覽器的第三方工具，廣泛應(yīng)用于行政和金融系統(tǒng)的安全文件傳輸。通過利用此漏洞，攻擊者能夠?qū)崿F(xiàn)橫向移動，從而能夠在目標(biāo)主機(jī)上安裝額外的惡意軟件。這會導(dǎo)致Lazarus標(biāo)志性的惡意軟件被部署到被攻擊計算機(jī)上，例如ThreatNeedle和LPEClient，從而擴(kuò)大了其在內(nèi)部網(wǎng)絡(luò)中的立足點。此次漏洞利用是整個攻擊鏈的一環(huán)，通過Agamemnon下載器實施，并專門針對易受攻擊的Innorix版本（9.2.18.496）。

在分析該惡意軟件的行為時，卡巴斯基的全球研究與分析團(tuán)隊（GReAT）專家發(fā)現(xiàn)了另一個額外的任意文件下載零日漏洞，并在任何威脅參與者將其用于攻擊之前成功識別。卡巴斯基已就Innorix Agent軟件中存在的問題向韓國互聯(lián)網(wǎng)振興院（KrCERT）及軟件供應(yīng)商提交報告。此后，該軟件已更新了補丁版本，而該漏洞的編號為 KVE-2025-0014。

卡巴斯基韓國區(qū)總經(jīng)理Sean Lee表示：“諸如Lazarus等威脅正在利用第三方軟件漏洞對關(guān)鍵行業(yè)發(fā)起復(fù)雜攻擊，突顯了高級網(wǎng)絡(luò)安全威脅的嚴(yán)重性。隨著韓國科技的快速發(fā)展，政府和私營企業(yè)應(yīng)該加強(qiáng)合作，共享威脅情報和資源，以增強(qiáng)國家數(shù)字防御能力。此外，組織和企業(yè)不應(yīng)僅停留在漏洞修補層面，而需采取更積極主動的防御策略，持續(xù)監(jiān)控和評估其軟件環(huán)境的安全態(tài)勢。同時，網(wǎng)絡(luò)安全事關(guān)全社會，有必要提高公眾的安全意識，共同維護(hù)安全和經(jīng)濟(jì)穩(wěn)定?！?/p>

“積極主動的網(wǎng)絡(luò)安全方法至關(guān)重要，正是這種思維方式讓我們能夠在深度惡意軟件分析中發(fā)現(xiàn)一個未知漏洞，在其出現(xiàn)任何被主動利用跡象之前就將其識別。及早發(fā)現(xiàn)此類威脅是防止系統(tǒng)受到更廣泛破壞的關(guān)鍵，”卡巴斯基全球研究與分析團(tuán)隊（GReAT）安全研究員Sojun Ryu評論說。

在發(fā)現(xiàn)INNORIX相關(guān)的漏洞之前，卡巴斯基專家曾發(fā)現(xiàn)針對韓國的后續(xù)攻擊中使用了ThreatNeedle變種和SIGNBT后門程序。該惡意軟件運行在合法 SyncHost.exe 進(jìn)程的內(nèi)存中，并作為 Cross EX 的子進(jìn)程創(chuàng)建，Cross EX 是一款合法的韓國軟件，旨在支持在各種瀏覽器環(huán)境中使用安全工具。

對該活動的詳細(xì)分析證實，韓國另有五家機(jī)構(gòu)也持續(xù)遭受相同攻擊途徑的入侵。每個案例的感染鏈條都指向Cross EX軟件中存在的潛在漏洞，表明該漏洞是整個攻擊行動的初始感染點。值得注意的是，KrCERT 最近發(fā)布的安全公告證實了 CrossEX 中存在漏洞，該漏洞已在此次研究期間得到修復(fù)。

“這些發(fā)現(xiàn)共同強(qiáng)化了一個更廣泛的安全問題：第三方瀏覽器插件和輔助工具會大幅增加攻擊面，尤其在依賴區(qū)域性軟件或過時軟件的環(huán)境中。這些組件通常以提升的權(quán)限運行，駐留在內(nèi)存中，并與瀏覽器進(jìn)程深度交互，這使得它們比現(xiàn)代瀏覽器本身對攻擊者更具吸引力，也更容易成為目標(biāo)，”卡巴斯基全球研究與分析團(tuán)隊（GReAT）總監(jiān)Igor Kuznetsov評論說。

SyncHole攻擊行動是如何開始的

Lazarus 組織利用通常被大量用戶訪問的被入侵在線媒體網(wǎng)站作為誘餌——這種技術(shù)被稱為水坑攻擊。威脅行為者會過濾傳入流量以識別目標(biāo)個人，選擇性地將這些目標(biāo)重定向到攻擊者控制的網(wǎng)站，隨后通過一系列技術(shù)操作啟動攻擊鏈。這種攻擊方法凸顯了該組織行動的高度針對性和戰(zhàn)略性。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！