Тревога на Корейском полуострове: тайное кибероружие Севера наносит удар по Югу

Национальный Центр Кибербезопасности Великобритании (NCSC) и Национальная Разведывательная Служба Южной Кореи (NIS) опубликовали совместное предупреждение о действиях северокорейской хакерской группировки «Lazarus». По информации ведомств, злоумышленники используют недавно обнаруженную уязвимость в программном обеспечении MagicLine4NX, разработанном южнокорейской компанией Dream Security, для атак на цепочки поставок.

MagicLine4NX — это программное обеспечение для аутентификации, используемое для безопасного входа в системы организаций. Как указывается в бюллетене безопасности, киберпреступники из КНДР использовали zero-day уязвимость в MagicLine4NX для взлома своих целей, в первую очередь южнокорейских учреждений.

Атака произошла в марте этого года и началась с компрометации веб-сайта одного из южнокорейских СМИ, где хакеры внедрили вредоносные скрипты, что позволило им осуществить атаку типа «Watering Hole».

Когда определённые цели из конкретных IP-диапазонов посещали конкретную статью на скомпрометированном сайте, скрипты запускали вредоносный код, активирующий упомянутую уязвимость в MagicLine4NX, влияющую на программное обеспечение до версии 1.0.0.26.

В результате компьютер жертвы подключался к C2-серверу злоумышленников, что позволило им получить доступ к серверу, находящемуся в интернете, путём использования уязвимости в связанной с сетью системе.

Используя функцию синхронизации данных заражённой системы, северокорейские хакеры распространили код для кражи информации на сервер, связанный с бизнесом, взломав компьютеры внутри целевой организации.

Вредоносный код подключался к двум серверам управления и контроля: один выступал в качестве промежуточного шлюза, а второй был расположен во внешней сети.

Функции вредоносного кода включали разведку, эксфильтрацию данных, загрузку и выполнение зашифрованных полезных нагрузок с сервера хакеров, а также боковое перемещение по сети.

Подробная информация об этой атаке, получившей кодовое название «Dream Magic» и приписываемой группе «Lazarus», представлена в развёрнутом докладе ASEC, доступном только на корейском языке.