按 Enter 到主內容區

駭侵組織Lazarus以軟體供應鏈手法攻擊南韓用戶

  • 發布日期:109-12-18
  • 發布單位:刑事警察大隊

參考網站:
行政院國家資通安全會報技術服務中心/駭侵組織Lazarus以軟體供應鏈手法攻擊南韓用戶
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16483


資安業者ESET揭露,駭侵組織Lazarus針對南韓用戶發起供應鏈攻擊行動,透過南韓資安監控驗證軟體WIZVERA VeraPort,以及竊取之合法數位憑證,將惡意程式植入受駭者電腦。
ESET研究報告指出,WIZVERA VeraPort為南韓政府指定之資安監控驗證軟體,當存取政府或銀行網路服務時,該軟體會自動安裝政府或金融機構網站所需之系統元件與資安軟體,然而WIZVERA VeraPort驗證網站數位憑證時,僅會檢查數位憑證有效性,不會檢查其擁有者是否為真。
駭侵團體Lazarus利用此一漏洞,近期於南韓發動供應鏈攻擊行動,首先駭入已獲得WIZVERA VeraPort認證且擁有合法數位憑證之網站,其次將須下載之系統元件或資安軟體置換為惡意程式,並利用竊取之合法數位憑證於惡意程式中加入數位簽章,藉此將惡意程式偽冒為合法程式,爾後植入遭駭網站中,待已安裝VeraPort之受害者電腦連線至該遭駭網站,便會自動下載並安裝含有合法數位簽章之惡意程式。
ESET表示,此類型軟體供應鏈攻擊,可利用雜湊值(Hash)驗證加以防範,即使網站遭駭,駭客亦難以偽冒合法程式。


資料來源:
https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/
https://www.securitymagazine.com/articles/93952-lazarus-misuses-legitimate-security-software-in-a-supply-chain-attack-in-south-korea
https://threatpost.com/hacked-software-south-korea-supply-chain-attack/161257/
技術服務中心整理