北韓駭客攻擊印度民間研究機構與企業

編譯/鄭智懷

芬蘭網路安全公司 WithSecure最新發表的資安報告指出,北韓駭客組織Lazarus在2022年8月開始利用協作平臺Zimbra的伺服器中未修補的安全漏洞,攻擊印度民間研究機構與企業。目前已知有三個組織成為攻擊事件的受害者。

根據研究團隊蒐集的數據顯示,攻擊的目標為印度不具名的醫療保健研究機構、某研究型大學的化學工程系,以及一家涉足能源、國防和醫療保健領域應用的製造商。而其中一家受害組織提到,駭客組織在2022年第三季發起的攻擊竊取了約100GB的資料;不過,入侵行動並未造成任何設備或系統的破壞。

在報告中提到,駭客組織Lazarus在2022年8月透過協作平臺Zimbra伺服器中存在已久,卻並未被修補的安全漏洞CVE-2022-27925 和 CVE-2022-37042,取得該公司的網路存取權限。示意圖:RF123

WithSecure在報告中提到,駭客組織Lazarus在2022年8月透過協作平臺Zimbra伺服器中存在已久,卻並未被修補的安全漏洞CVE-2022-27925 和 CVE-2022-37042,取得該公司的網路存取權限。據悉,上述兩個安全漏洞可能被駭客組織用於在實體伺服器上執行遠端程式。這也使得攻擊者可以獲取敏感資料。

而在2022年10月開始的下一步行動中,駭客組織Lazarus部署了新版的 GREASE和Dtrack等木馬程式。前者被各界普遍認為出自另一個北韓駭客組織 Kimsuky之手,具有創立開啟遠端桌面協定(RDP)管理員權限,並且繞過防火牆的功能;後者則被廣泛用於攻擊各種垂直產業(vertical industry),以及出於經濟動機而使用Maui 勒索軟體的網路攻擊行動。

報告撰寫人Sami Ruohonen 和 Stephen Robinson指出,在2022年11月初監測到命令和控制伺服器啟動後,隨即在該月5月至11日之間竊取目標的資料。

此外,兩名研究員還發現,駭客組織Lazarus還利用了Plink 和 3Proxy等程式工具在受害者設備上建立代理伺服器(proxy),與另一家資安業者思科(Cisco)稍早對該組織針對能源商發起的攻擊行動之調查結果相呼應。

資料來源:WithSecure

瀏覽 710 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button