与朝鲜有关的Lazarus APT利用0day漏洞攻击韩国金融产业

与朝鲜有联系的Lazarus APT组织利用零日漏洞针对韩国金融实体发起攻击。

ASEC（AhnLab 安全紧急响应中心）观察到与朝鲜有联系的Lazarus APT组织利用未公开软件中的零日漏洞入侵韩国的一家金融企业实体。相关黑客在一年内两次入侵公司。

第一次攻击是在2022年5月发现的，威胁参与者的目标是韩国公共机构和大学广泛使用的易受攻击的证书软件版本。

2022年10月观察到第二次攻击，当时攻击者利用影响同一软件的零日漏洞。

“在2022年5月的渗透期间，受影响的公司使用了公共机构和大学常用的证书程序的易受攻击版本。事件发生后，他们将所有软件更新到最新版本。”公告中还说“不过，此次Lazarus组织利用该软件的0-Day漏洞进行了渗透。”

ASEC向KISA报告了该零日漏洞，同时指出该漏洞尚未得到充分验证，尚未发布软件补丁。

Lazarus APT利用零日漏洞进行横向移动，它还使用称为自带易受攻击的驱动程序(BYOVD)的技术禁用了反恶意软件。

这并不是Lazarus APT首次使用BYOVD技术，2022年10月，与朝鲜有关的组织被发现利用戴尔固件驱动程序中的漏洞部署了 Windows rootkit。

ASEC还注意到APT使用反取证技术来隐藏他们的恶意活动，例如在删除文件之前更改文件名或修改时间戳。

研究人员分析了目标组织的两台PC，确认威胁行为者利用证书软件的漏洞对PC01和PC02进行了横向移动攻击。 

攻击者创建了后门加载程序(LegacyUserManager.dll)来部署以下恶意负载：

• C:\ProgramData\Microsoft\Crypto\Keys\Keys.dat（已获取）
• C:\ProgramData\Microsoft\Settings\Settings.vwx（已获取）

“威胁者利用了韩国常用的证书软件的0-day漏洞。由于这些类型的软件不会自动更新，因此必须手动将它们修补到最新版本或在不使用时将其删除。”ASEC总结道。“受影响的公司被同一个威胁行为者以类似的方法重新渗透。需要持续监控以防止再次发生，而不是仅采取攻击后措施。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4819.html