外媒报告：揭露朝鲜黑客对供应链的攻击

据观察，由朝鲜政府发起的高级持续威胁 (APT) 组织 Lazarus Group 发起了两次独立的供应链攻击活动，以此作为在企业网络中立足并针对广泛下游实体的手段。

最新的情报收集行动涉及使用 MATA 恶意软件框架以及被称为BLINDINGCAN和COPPERHEDGE 的后门来攻击国防工业、位于拉脱维亚的 IT 资产监控解决方案供应商和位于韩国的智囊团。卡巴斯基发布的2021 年第三季度 APT 趋势报告。

在一个例子中，供应链攻击源于运行恶意负载的合法韩国安全软件的感染链，导致 2021 年 6 月在智库网络上部署了 BLINDINGCAN 和 COPPERHEDGE 恶意软件。研究人员表示，5 月份的拉脱维亚公司是 Lazarus 的“非典型受害者”。

目前尚不清楚 Lazarus 是否篡改了 IT 供应商的软件以分发植入物，或者该组织是否滥用对公司网络的访问来破坏其他客户。这家俄罗斯网络安全公司正在 DeathNote 集群下跟踪该活动。

那不是全部。在看似不同的网络间谍活动中，还发现攻击者利用多平台MATA恶意软件框架在受感染的机器上执行一系列恶意活动。研究人员指出：“攻击者提供了一个已知被他们选择的受害者使用的应用程序的木马化版本，代表了 Lazarus 的一个已知特征。”

根据卡巴斯基先前的调查结果，MATA 活动能够攻击 Windows、Linux 和 macOS 操作系统，攻击基础设施使对手能够执行多阶段感染链，最终加载额外的插件，从而允许访问大量信息，包括存储在设备上的文件、提取敏感数据库信息以及注入任意 DLL。

在 Lazarus 之外，一名疑似 HoneyMyte 的中文 APT 威胁参与者被发现采用了相同的策略，即修改了指纹扫描仪软件安装程序包，将PlugX后门安装在某个未具名国家/地区政府机构的分发服务器上在南亚。卡巴斯基将供应链事件称为“SmudgeX”。

发展之际，网络攻击瞄准了IT供应链已成为在2020年SolarWinds的入侵之后最关注的问题，强调要采取严格的账号安全做法，并采取预防措施，以保护企业环境的需求。