北韓駭客組織Lazarus利用南韓合法安全軟體WIZVERA VeraPort(圖左)及從兩家安全業者偷來的數位憑證(圖右),以軟體供應鏈手法攻擊南韓用戶。(圖片來源/ESET)

安全廠商ESET近日發現駭客組織Lazarus對南韓用戶發動攻擊,運用一種軟體供應鏈機制,使用南韓合法安全軟體及從兩家公司偷來的數位憑證,以便在用戶電腦植入惡意程式。

Lazarus首先於2016 年2月為人發現,美國電腦緊急應變小組(US-CERT)和FBI稱之為Hidden Cobra,美國也認為Lazarus和北韓政府關係密切。Lazarus因2014年攻擊索尼影業(Sony Pictures Entertainment)而惡名遠播,之後還曾攻擊波蘭、墨西哥銀行、中美洲賭場及美國國防外包商等。

這次事件發生在今年夏秋之交,可能屬於Lazarus名為 Operation Bookcodes的行動一部份。研究人員指出,此次攻擊主要與一個合法軟體WIZVERA VeraPort有關。WIZVERA VeraPort是南韓裝置端安全管理軟體,用以接收與安裝特定網站需要的必要安全軟體,例如瀏覽器外掛、安全軟體、身份驗證軟體等等,在南韓通常用於政府或銀行網站,有的網站甚至要求使用者必須安裝WIZVERA VeraPort才能使用服務。

行動的第一階段中,Lazarus先駭入某些使用WIZVERA VeraPort的合法網站後,再將要下載的軟體置換成惡意binary,藉由VeraPort途徑下載到網站訪客的電腦。最後下載到用戶電腦的是一個遠端木馬程式(RAT)。

駭客利用VeraPort組態檔一個特性:它可在下載並執行binary前驗證憑證,但它只管憑證有效與否,而不去管是誰的憑證。因此,在第二階段中,Lazarus使用偷來的兩家安全廠商發出的憑證來為其簽章,以便成功執行冒充合法程式的RAT。

研究人員指出,這種軟體供應鏈攻擊是可以防止的。例如WIZVERA VeraPort的組態也可以驗證下載binary的雜湊(hash),只要啟動該選項,即使網站被駭,駭客也不容易將軟體掉包。

但是研究人員也警告,供應鏈攻擊讓駭客得以冒充合法軟體,同時入侵多臺電腦,未來可能數量會更多,以特定地區或產業內知名的服務為攻擊目標。


Advertisement

更多 iThome相關內容