- 13,854
- 20
- 8 Ноя 2022
Zero-day в MagicLine4NX как новый вектор атак для киберпреступников из КНДР.
Национальный Центр Кибербезопасности Великобритании ( NCSC ) и Национальная Разведывательная Служба Южной Кореи ( NIS ) опубликовали Для просмотра ссылки Войдиили Зарегистрируйся о действиях северокорейской хакерской группировки «Lazarus». По информации ведомств, злоумышленники используют Для просмотра ссылки Войди или Зарегистрируйся уязвимость в программном обеспечении MagicLine4NX, разработанном южнокорейской компанией Dream Security , для атак на цепочки поставок.
MagicLine4NX — это программное обеспечение для аутентификации, используемое для безопасного входа в системы организаций. Как указывается в бюллетене безопасности, киберпреступники из КНДР использовали zero-day уязвимость в MagicLine4NX для взлома своих целей, в первую очередь южнокорейских учреждений.
Атака произошла в марте этого года и началась с компрометации веб-сайта одного из южнокорейских СМИ, где хакеры внедрили вредоносные скрипты, что позволило им осуществить атаку типа «Watering Hole» .
Когда определённые цели из конкретных IP-диапазонов посещали конкретную статью на скомпрометированном сайте, скрипты запускали вредоносный код, активирующий упомянутую уязвимость в MagicLine4NX, влияющую на программное обеспечение до версии 1.0.0.26.
В результате компьютер жертвы подключался к C2-серверу злоумышленников, что позволило им получить доступ к серверу, находящемуся в интернете, путём использования уязвимости в связанной с сетью системе.
Используя функцию синхронизации данных заражённой системы, северокорейские хакеры распространили код для кражи информации на сервер, связанный с бизнесом, взломав компьютеры внутри целевой организации.
Вредоносный код подключался к двум серверам управления и контроля: один выступал в качестве промежуточного шлюза, а второй был расположен во внешней сети.
Функции вредоносного кода включали разведку, эксфильтрацию данных, загрузку и выполнение зашифрованных полезных нагрузок с сервера хакеров, а также боковое перемещение по сети.
Подробная информация об этой атаке, получившей кодовое название «Dream Magic» и приписываемой группе «Lazarus», представлена в Для просмотра ссылки Войдиили Зарегистрируйся ASEC, доступном только на корейском языке.
Национальный Центр Кибербезопасности Великобритании ( NCSC ) и Национальная Разведывательная Служба Южной Кореи ( NIS ) опубликовали Для просмотра ссылки Войди
MagicLine4NX — это программное обеспечение для аутентификации, используемое для безопасного входа в системы организаций. Как указывается в бюллетене безопасности, киберпреступники из КНДР использовали zero-day уязвимость в MagicLine4NX для взлома своих целей, в первую очередь южнокорейских учреждений.
Атака произошла в марте этого года и началась с компрометации веб-сайта одного из южнокорейских СМИ, где хакеры внедрили вредоносные скрипты, что позволило им осуществить атаку типа «Watering Hole» .
Когда определённые цели из конкретных IP-диапазонов посещали конкретную статью на скомпрометированном сайте, скрипты запускали вредоносный код, активирующий упомянутую уязвимость в MagicLine4NX, влияющую на программное обеспечение до версии 1.0.0.26.
В результате компьютер жертвы подключался к C2-серверу злоумышленников, что позволило им получить доступ к серверу, находящемуся в интернете, путём использования уязвимости в связанной с сетью системе.
Используя функцию синхронизации данных заражённой системы, северокорейские хакеры распространили код для кражи информации на сервер, связанный с бизнесом, взломав компьютеры внутри целевой организации.
Вредоносный код подключался к двум серверам управления и контроля: один выступал в качестве промежуточного шлюза, а второй был расположен во внешней сети.
Функции вредоносного кода включали разведку, эксфильтрацию данных, загрузку и выполнение зашифрованных полезных нагрузок с сервера хакеров, а также боковое перемещение по сети.
Подробная информация об этой атаке, получившей кодовое название «Dream Magic» и приписываемой группе «Lazarus», представлена в Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
