Szoftverellátási láncok támadása
Az Egyesült Királyság és Dél-Korea kormányzati szervei szerint az elmúlt években ugrásszerűen megnőtt az észak-koreai hackerek által végrehajtott szoftverellátási láncot érintő támadások száma.
A közvélemény figyelmének felkeltése és a kompromittálódás megelőzése érdekében az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és a dél-koreai Nemzeti Hírszerző Szolgálat (NIS) november 23-án közös tanácsadást adott ki, amelyben leírják az észak-koreai hackerek néhány taktikáját, technikáját és eljárását (TTP).
Az NCSC és a NIS szerint ezek a fenyegető szereplők megfigyelték, hogy világszerte kormányzati szervek, pénzügyi intézmények és védelmi szervezetek által általánosan használt, harmadik féltől származó szoftverek nulladik napi sebezhetőségeit használják ki.
Emellett újonnan közzétett sebezhetőségekre és eszközökre támaszkodnak, valamint sorozatban több sebezhetőséget is kihasználnak, hogy pontosan megtámadjanak egy adott célpontot.
A közös tanácsadás részletesen ismertette a legújabb szoftverellátási láncot érintő támadások, a MagicLine4NX és a 3CX támadások során alkalmazott TTP-ket is.
Az első támadás a MagicLine4NX biztonsági hitelesítési programra vonatkozik. 2023 márciusában a fenyegető szereplők egy médium weboldalát veszélyeztették, rosszindulatú szkripteket telepítettek egy cikkbe, és víznyelőt hoztak létre.
Ez lehetővé tette számukra, hogy a MagicLine4NX szoftver nulladik napi sebezhetőségét kihasználva jogosulatlanul hozzáférjenek egy célszervezet intranetjéhez a célszervezet egyik internetkapcsolattal rendelkező számítógépén keresztül.
A rosszindulatú kód telepítése után lehetővé vált a kezdeti jeladó adatok kiszivárgása, valamint titkosított hasznos terhek letöltése és végrehajtása.