• 發布單位:TWCERT/CC
• 更新日期:2020-11-23
• 點閱次數:3142

資安專家發現北韓駭侵團體 Lazarus 在南韓發動供應鏈攻擊行動，企圖藉由在南韓有高安裝量的官方指定資安監控軟體，駭入受害者電腦並竊取機敏資訊。

斯洛伐克資安廠商 ESET 旗下的資安專家，日前發現北韓駭侵團體 Lazarus 在南韓發動供應鏈攻擊行動，企圖藉由在南韓有極高安裝量的官方指定資安監控軟體 WIZVERA VeraPort，駭入受害者電腦並竊取機敏資訊。

ESET 發表的研究報告指出，WIZVERA VeraPort 是南韓政府指定使用於存取政府與銀行網路服務時必須安裝的資安監控驗證軟體；VeraPort 會自動安裝各種政府與金融機構網站所需的系統元件和資安軟體，但 VeraPort 在驗證網站的數位憑證時，只會檢查數位簽章本身的真偽，不會檢查誰擁有這個數位簽章。

駭侵團體 Lazarus 利用此一漏洞，近期在南韓發動供應鏈供擊；據研究報告指出，Lazurus 的駭侵手法如下：首先駭入已獲得 VeraPort 認證，且擁有合法數位簽的網站，然後在其惡意軟體中加上合法的數位簽章，並植入遭駭的網站中。一旦安裝了 VeraPort 的受害者電腦連線到該網站，就會自動下載並安裝含有合法數位簽章的惡意軟體。

受害者電腦被安裝惡意軟體後，接著會下載 Dropper 惡意軟體，在受害電腦中開啟可遠端控制的後門，以進行後續的駭侵攻擊，包括檔案與資料竊取，或是做為跳板執行其他駭侵攻擊。