英國國家網路安全中心（NCSC）和韓國國家情報局（NIS）共同警告說，北韓Lazarus 駭客組織利用MagicLine4NX 軟體中的零日漏洞入侵一系列企業，並實施供應鏈攻擊。MagicLine4NX 是韓國Dream Security 公司開發的安全認證軟體，用於企業的安全登入。根據聯合網路安全公告，北韓威脅分子利用該產品中的零日漏洞入侵了他們的目標，主要是韓國機構。

“2023年3月，網路行為者利用安全認證和網路連接系統的軟體漏洞串聯，未經授權存取了目標機構的內網，」諮詢描述道。”它利用MagicLine4NX 安全身份驗證程式的軟體漏洞，首次入侵目標的互聯網連接計算機，並利用網路連結系統的零日漏洞橫向移動，未經授權存取資訊”。

這次攻擊首先入侵了一家媒體的網站，在文章中嵌入惡意腳本，從而實現’灌水孔’攻擊。

當特定IP範圍內的目標存取被入侵網站上的文章時，腳本會執行惡意程式碼，觸發MagicLine4NX軟體中的上述漏洞，影響1.0.0.26之前的版本。這導致受害者的電腦連接到攻擊者的C2（命令和控制）伺服器，使他們能夠利用網路連接系統中的漏洞存取網路伺服器。北韓駭客利用該系統的資料同步功能，將資訊竊取程式碼傳播到業務端伺服器，從而入侵目標組織內的個人電腦。植入的代碼連接到兩個C2 伺服器，一個作為中間網關，另一個位於網際網路外部。惡意程式碼的功能包括偵察、資料外滲、從C2 下載和執行加密負載以及網路橫向移動。

攻擊鏈條分析圖/NCSC

關於這次代號為”夢幻魔力”、由臭名昭著的Lazarus 實施的攻擊的詳細信息，請參閱本AhnLab 報告（僅提供韓文版）：

按一下以存取 20231013_Lazarus_OP.Dream_Magic.pdf

有國家支持的北韓駭客行動一貫依賴供應鏈攻擊和利用零日漏洞作為其網路戰戰術的一部分。

2023 年3 月，人們發現”迷宮Chollima”（Lazarus 的一個子組織）對VoIP 軟體製造商3CX 進行了供應鏈攻擊，入侵了全球多家知名企業。

上週五，微軟披露了針對訊連科技（Cyber​​Link）的供應鏈攻擊，Lazarus 駭客組織利用該攻擊發布了木馬化、數位簽名的假冒應用安裝程序，使至少一百台電腦感染了”LambLoad”惡意軟體.

北韓駭客組織利用這類攻擊針對特定公司，無論是網路間諜、金融詐欺或加密貨幣竊盜。

今年早些時候，網路安全諮詢機構（CSA）警告說，北韓駭客攻擊竊取的資金被用於資助該國的行動。”根據機構評估，來自這些加密貨幣業務的不明金額收入支持朝鮮國家級優先事項和目標，包括針對美國和韓國政府的網絡行動–具體目標包括國防部資訊網絡和國防工業基地成員網絡，”CISA的一份諮詢意見中寫道。