【精選威脅情資 #4】發生於南韓的 Lazarus 供應鏈攻擊

‍

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。我們將每個月精選出二至三篇情資，整理成部落格與大家分享，有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向

根據 ESET 研究，與北韓有所關聯且曾參與在眾多重大入侵事件，包含針對 Sony Pictures Entertainment 和 WannaCry 勒索軟體的駭客組織 Lazarus Group， 極有可能是近期以南韓政府與金融網站使用者為攻擊目標的供應鏈攻擊幕後黑手，這波不尋常的供應鏈攻擊行動惡意利用了 WIZVERA VeraPort 這個合法的南韓安全軟體，並進行憑證竊取。

情資描述

在南韓，使用者們在進入政府網頁、網路銀行時，時常會被要求安裝額外的資安軟體，而 WIZVERA VeraPort 便是一個管控這些安全軟體的資安應用程式，會自動安裝所需的安全軟體與系統元件，Lazarus 則惡意利用了此安裝機制以派送惡意軟體。

攻擊行動要背成功執行有幾項要素，首先使用者的設備需要安裝有 WIZVERA VeraPort 軟體且瀏覽過支援 WIZVERA VeraPort 的受駭網頁，此外，該受駭網站的 VeraPort 設定檔案中需包含特定的項目，使 Lazarus 得以成功將合法的 VeraPort 軟體替換成他們的惡意程式。

之所以將此供應鏈攻擊歸因於 Lazarus，主要有下列五個因素：

1. KrCERT 將此攻擊定調為一個更大型的攻擊 Operation Bookcodes 之延續行動
2. 本次行動所使用的工具集，與先前被認為是 Lazarus 所為、針對波蘭與墨西哥銀行發動的攻擊中使用的工具集相似
3. 受駭目標為南韓，因 Lazarus 有著長久以來皆針對南韓的攻擊歷史
4. 相似的網路架構與 C2 組織
5. 相似的入侵與加密方法

入侵指標 (IOCs)

SHA1

3D311117D09F4A6AD300E471C2FB2B3C63344B1D
3ABFEC6FC3445759730789D4322B0BE73DC695C7
5CE3CDFB61F3097E5974F5A07CF0BD2186585776
FAC3FB1C20F2A56887BDBA892E470700C76C81BA
AA374FA424CC31D2E5EC8ECE2BA745C28CB4E1E8
E50AD1A7A30A385A9D0A2C0A483D85D906EF4A9
DC72D464289102CAAF47EC318B6110ED6AF7E5E4
9F7B4004018229FAD8489B17F60AADB3281D6177
2A2839F69EC1BA74853B11F8A8505F7086F1C07A
8EDB488B5F280490102241B56F1A8A71EBEEF8E3

URL

http://www.ikrea.or[.]kr/main/main_board.asp
http://www.fored.or[.]kr/home/board/view.php
https://www.zndance[.]com/shop/post.asp
http://www.cowp.or[.]kr/html/board/main.asp
http://www.style1.co[.]kr/main/view.asp
http://www.erpmas.co[.]kr/Member/franchise_modify.asp
https://www.wowpress.co[.]kr/customer/refuse_05.asp
https://www.quecue[.]kr/okproj/ex_join.asp
http://www.pcdesk.co[.]kr/Freeboard/mn_board.asp
http://www.gongsinet[.]kr/comm/comm_gongsi.asp
http://www.goojoo[.]net/board/banner01.asp
http://www.pgak[.]net/service/engine/release.asp
https://www.gncaf.or[.]kr/cafe/cafe_board.asp
https://www.hsbutton.co[.]kr/bbs/bbs_write.asp
https://www.hstudymall.co[.]kr/easypay/web/bottom.asp

參考資料

1. Lazarus supply‑chain attack in South Korea