英国国家网络安全中心（NCSC）和韩国国家情报局（NIS）共同警告说，朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的零日漏洞入侵一系列企业，实施供应链攻击。MagicLine4NX 是韩国 Dream Security 公司开发的一款安全认证软件，用于企业的安全登录。根据联合网络安全公告，朝鲜威胁分子利用该产品中的零日漏洞入侵了他们的目标，主要是韩国机构。

"2023年3月，网络行为者利用安全认证和网络连接系统的软件漏洞串联，未经授权访问了目标机构的内网，"咨询描述道。"它利用 MagicLine4NX 安全身份验证程序的软件漏洞，首次入侵目标的互联网连接计算机，并利用网络链接系统的零日漏洞横向移动，未经授权访问信息"。

这次攻击首先入侵了一家媒体的网站，在文章中嵌入恶意脚本，从而实现'灌水孔'攻击。

当特定IP范围内的目标访问被入侵网站上的文章时，脚本会执行恶意代码，触发MagicLine4NX软件中的上述漏洞，影响1.0.0.26之前的版本。这导致受害者的计算机连接到攻击者的 C2（命令和控制）服务器，使他们能够利用网络连接系统中的漏洞访问互联网服务器。朝鲜黑客利用该系统的数据同步功能，将信息窃取代码传播到业务端服务器，从而入侵目标组织内的个人电脑。植入的代码连接到两个 C2 服务器，一个作为中间网关，另一个位于互联网外部。恶意代码的功能包括侦察、数据外渗、从 C2 下载和执行加密载荷以及网络横向移动。

攻击链条分析 图/NCSC

关于这次代号为"梦幻魔力"、由臭名昭著的 Lazarus 实施的攻击的详细信息，请参阅本 AhnLab 报告（仅提供韩文版）：

https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf

有国家支持的朝鲜黑客行动一贯依赖供应链攻击和利用零日漏洞作为其网络战战术的一部分。

2023 年 3 月，人们发现"迷宫 Chollima"（Lazarus 的一个子组织）对 VoIP 软件制造商 3CX 进行了供应链攻击，入侵了全球多家知名企业。

上周五，微软披露了针对讯连科技（CyberLink）的供应链攻击，Lazarus 黑客组织利用该攻击发布了木马化、数字签名的假冒应用安装程序，使至少一百台电脑感染了"LambLoad"恶意软件。

朝鲜黑客组织利用这类攻击针对特定公司，无论是网络间谍、金融欺诈还是加密货币盗窃。

今年早些时候，网络安全咨询机构（CSA）警告说，朝鲜黑客攻击窃取的资金被用于资助该国的行动。"据机构评估，来自这些加密货币业务的不明金额收入支持朝鲜国家级优先事项和目标，包括针对美国和韩国政府的网络行动--具体目标包括国防部信息网络和国防工业基地成员网络，"CISA 的一份咨询意见中写道。