聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

网络安全公司 ESET 的研究人员发现朝鲜黑客组织 Lazarus Group 滥用合法的安全软件和被盗数字证书在目标系统上传播远程管理工具。

Lazarus Group 也被称为 “Hidden Cobra”，它利用韩国互联网用户必须安装额外安全软件才能使用互联网银行服务和重要的政府服务的事实发动攻击。

该攻击的范围有限，利用的是WIZVERA VeraPort （“旨在集成和管理和互联网银行相关的安装程序“），如由银行和企业向个人颁发的数字证书来确保所有交易和进程支付的安全性。

这是 Lazarus Group 攻击韩国的最新举措，此前曾在2011年发动 Operation Troy、DDoS 攻击，在过去十年来攻击银行机构和密币交易所。

除了使用上述提到的安装安全软件的技术从合法但受陷网站上传播恶意软件外，攻击者还利用非法获得的代码签名整数签名恶意软件样本。其中一个样本颁发给了一家韩国安全公司的美国分公司 Dream Security USA。

研究人员指出，“攻击者将 Lazarus 恶意软件代码伪装成合法软件。这些样本拥有类似于韩国合法软件的文件名称、图标和资源。攻击者组合利用具有 WIZVERA VeraPort 支持的受陷网站和特定的 VeraPort 配置选项实施攻击。“

研究人员表示，攻击针对使用 VeraPort 的网站（也具有 base64 编码的 XML 配置文件，包含需安装的软件列表和相关联的下载 URL），攻击者攻陷具有恶意二进制的合法网站，替代了需交付给 VeraPort 用户的软件，之后被非法获得的代码签名证书签名，交付 payload。

研究人员注意到，“WIZVERA VeraPort 配置包含一个选项，在执行所下载二进制之前会验证它的数字签名，而在很多情况下，这一选项是默认启用的。然而，VeraPort 仅验证数字签名是合法的，而不会检查它属于谁。”

二进制随后下载恶意软件释放器，提取另外两个组件（一个加载器和一个下载器），加载器将下载器注入其中一个 Windows 进程 (“svchost.exe”) 中。下载器获取的最后阶段的 payload 以 RAT 的形式出现，它含有的命令可使恶意软件在受害者文件系统上执行操作并从攻击者武器库中下载并执行附加的工具。

另外，该攻击似乎是 Lazarus 发动的另外一起攻击 Operationi BookCodes 的延续。韩国互联网安全局今年4月份曾详述该攻击。本次攻击的 TTPs 和 C2 基础设施与之具有重大重叠之处。

研究人员总结称，“攻击者对攻击链攻击尤为感兴趣，因为他们同时可以在很多计算机上秘密部署恶意软件。支持 VeraPort 的站点所有人能够降低此类攻击的可能性，即使站点被攻陷也不例外：启用具体的选项即可（例如指定 VeraPort 配置中二进制的哈希）。“

完整报告请见：https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/

推荐阅读

朝鲜 Lazarus 黑客被指利用多平台恶意软件框架发动攻击

抢先看|微软拿下99个APT 35 域名；APT33 和 Lazarus 攻击动态

原文链接

https://thehackernews.com/2020/11/trojanized-security-software-hits-south.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~