Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Zero-day в MagicLine4NX как новый вектор атак для киберпреступников из КНДР

28/11/23

hack Lazarus-1

Национальный Центр Кибербезопасности Великобритании (NCSC) и Национальная Разведывательная Служба Южной Кореи (NIS) опубликовали совместное предупреждение о действиях северокорейской хакерской группировки «Lazarus». По информации ведомств, злоумышленники используют недавно обнаруженную уязвимость в программном обеспечении MagicLine4NX, разработанном южнокорейской компанией Dream Security, для атак на цепочки поставок.

MagicLine4NX, поясняет Securitylab, — это программное обеспечение для аутентификации, используемое для безопасного входа в системы организаций. Как указывается в бюллетене безопасности, киберпреступники из КНДР использовали zero-day уязвимость в MagicLine4NX для взлома своих целей, в первую очередь южнокорейских учреждений.

Атака произошла в марте этого года и началась с компрометации веб-сайта одного из южнокорейских СМИ, где хакеры внедрили вредоносные скрипты, что позволило им осуществить атаку типа «Watering Hole».

Когда определённые цели из конкретных IP-диапазонов посещали конкретную статью на скомпрометированном сайте, скрипты запускали вредоносный код, активирующий упомянутую уязвимость в MagicLine4NX, влияющую на программное обеспечение до версии 1.0.0.26.

В результате компьютер жертвы подключался к C2-серверу злоумышленников, что позволило им получить доступ к серверу, находящемуся в интернете, путём использования уязвимости в связанной с сетью системе.

Используя функцию синхронизации данных заражённой системы, северокорейские хакеры распространили код для кражи информации на сервер, связанный с бизнесом, взломав компьютеры внутри целевой организации.

Вредоносный код подключался к двум серверам управления и контроля: один выступал в качестве промежуточного шлюза, а второй был расположен во внешней сети.

Функции вредоносного кода включали разведку, эксфильтрацию данных, загрузку и выполнение зашифрованных полезных нагрузок с сервера хакеров, а также боковое перемещение по сети.

Подробная информация об этой атаке, получившей кодовое название «Dream Magic» и приписываемой группе «Lazarus», представлена в развёрнутом докладе ASEC, доступном только на корейском языке.

Темы:ПреступленияКНДРЮжная Корея0Day-уязвимости
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...