英国の国家サイバーセキュリティセンター(NCSC)と韓国の国家情報院(NIS)は共同で、北朝鮮のハッカー集団LazarusがMagicLine4NXソフトウェアのゼロデイ脆弱性を悪用して一連の企業に侵入し、サプライチェーン攻撃を実行したと警告した。 MagicLine4NX は、韓国の DreamSecurity 社が開発したセキュリティ認証ソフトウェアで、企業の安全なログインに使用されています。共同サイバーセキュリティ勧告によると、北朝鮮の攻撃者は製品のゼロデイ脆弱性を悪用し、ターゲット、主に韓国の機関を侵害した。

「2023年3月、サイバー攻撃者はセキュリティ認証とネットワーク接続システムのソフトウェアの脆弱性を並行して悪用し、標的組織のイントラネットへの不正アクセスを取得した」と勧告には記載されている。 「MagicLine4NX 安全な認証プログラムのソフトウェアの脆弱性を悪用して、ターゲットのインターネットに接続されたコンピュータに最初に侵入し、ネットワークにリンクされたシステムのゼロデイ脆弱性を悪用して横方向に移動し、情報に不正にアクセスしました。」

この攻撃は、まずメディア Web サイトに侵入し、記事に悪意のあるスクリプトを埋め込んで「ウォーターホール」攻撃を実行しました。

特定の IP 範囲内のターゲットが侵害された Web サイトの記事にアクセスすると、スクリプトは悪意のあるコードを実行し、MagicLine4NX ソフトウェアに上記の脆弱性を引き起こし、1.0.0.26 より前のバージョンに影響を与えます。これにより、被害者のコンピュータが攻撃者の C2 (コマンド アンド コントロール) サーバーに接続され、ネットワーク接続システムの脆弱性を悪用してインターネット サーバーにアクセスできるようになります。北朝鮮ハッカーらは、システムのデータ同期機能を利用して情報窃取コードを企業側サーバーに拡散し、対象組織内のパソコンに侵入した。埋め込まれたコードは 2 つの C2 サーバーに接続します。1 つは中間ゲートウェイとして機能し、もう 1 つはインターネットの外部にあります。悪意のあるコードの機能には、偵察、データの引き出し、C2 からの暗号化されたペイロードのダウンロードと実行、および横方向のネットワーク移動が含まれます。

攻撃チェーン分析図/NCSC

「Dream Magic」というコードネームで悪名高き Lazarus によって実行されたこの攻撃の詳細については、次の AhnLab レポートを参照してください (韓国語のみ)。

https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf

北朝鮮の国家支援によるハッキング作戦は歴史的に、サイバー戦争戦術の一環としてサプライチェーン攻撃とゼロデイ脆弱性の悪用に依存してきた。

2023年3月、「Maze Chollima」(Lazarusのサブグループ)がVoIPソフトウェアメーカー3CXに対してサプライチェーン攻撃を実行し、世界中の多くの有名企業に侵入したことが判明した。

金曜日、Microsoftは、Lazarusハッカーグループがトロイの木馬化されたデジタル署名された偽のアプリケーションインストーラーをリリースし、少なくとも100台のコンピュータを「LambLoad」マルウェアに感染させるために使用されたCyber​​Linkへのサプライチェーン攻撃を明らかにした。

北朝鮮のハッカーグループは、サイバースパイ活動、金融詐欺、仮想通貨窃盗など、特定の企業をターゲットにこの種の攻撃を利用します。

今年初め、サイバーセキュリティ諮問グループ(CSA)は、北朝鮮のハッキング攻撃で盗まれた資金が国内での活動資金に使用されていると警告した。 CISAの勧告的意見には、「これらの仮想通貨ビジネスからの不特定の金額の収入が、国防総省の情報ネットワークや防衛産業基盤メンバーのネットワークを含む特定の標的による、米国および韓国政府に対するサイバー作戦を含む北朝鮮の国家的優先事項と目的を支援していると評価している」と書かれている。