北朝鲜骇客组织Lazarus以软件供应链手法攻击韩国用户

安全厂商ESET近日发现骇客组织Lazarus对韩国用户发动攻击，运用一种软件供应链机制，使用韩国合法安全软件及从两家公司偷来的数位凭证，以便在用户电脑植入恶意程式。

Lazarus首先于2016 年2月为人发现，美国电脑紧急应变小组（US-CERT）和FBI称之为Hidden Cobra，美国也认为Lazarus和北朝鲜-关系密切。Lazarus因2014年攻击索尼影业（Sony Pictures Entertainment）而恶名远播，之后还曾攻击波兰、墨西哥银行、中美洲赌场及美国国防外包商等。

这次事件发生在今年夏秋之交，可能属于Lazarus名为 Operation Bookcodes的行动一部分。研究人员指出，此次攻击主要与一个合法软件WIZVERA VeraPort有关。WIZVERA VeraPort是韩国装置端安全管理软件，用以接收与安装特定网站需要的必要安全软件，例如浏览器外挂、安全软件、身份验证软件等等，在韩国通常用于-或银行网站，有的网站甚至要求使用者必须安装WIZVERA VeraPort才能使用服务。

行动的第一阶段中，Lazarus先骇入某些使用WIZVERA VeraPort的合法网站后，再将要下载的软件置换成恶意binary，借由VeraPort途径下载到网站访客的电脑。最后下载到用户电脑的是一个远端木马程式（RAT）。

骇客利用VeraPort组态档一个特性：它可在下载并执行binary前验证凭证，但它只管凭证有效与否，而不去管是谁的凭证。因此，在第二阶段中，Lazarus使用偷来的两家安全厂商发出的凭证来为其签章，以便成功执行冒充合法程式的RAT。

研究人员指出，这种软件供应链攻击是可以防止的。例如WIZVERA VeraPort的组态也可以验证下载binary的杂凑（hash），只要启动该选项，即使网站被骇，骇客也不容易将软件掉包。

但是研究人员也警告，供应链攻击让骇客得以冒充合法软件，同时入侵多台电脑，未来可能数量会更多，以特定地区或产业内知名的服务为攻击目标。