【安全资讯】朝鲜黑客利用VPN更新漏洞安装恶意软件

概要：

韩国国家网络安全中心（NCSC）警告称，朝鲜国家支持的黑客利用VPN软件更新中的漏洞部署恶意软件并入侵网络。此次攻击与朝鲜总统金正恩在2023年1月宣布的全国工业工厂现代化项目有关，黑客试图窃取韩国的商业机密。

主要内容：

NCSC的公告指出，两个威胁组织Kimsuky（APT43）和Andariel（APT45）参与了此次活动，这两个组织此前与臭名昭著的Lazarus Group有关联。Kimsuky在2024年1月通过入侵韩国一家建筑贸易组织的网站，向访问者传播恶意软件。当员工尝试登录该网站时，他们被要求安装名为“NX_PRNMAN”或“TrustPKI”的安全软件。这些被篡改的安装程序使用了韩国国防公司D2Innovation的有效证书，成功绕过了杀毒软件的检查。

在2024年4月，Andariel利用国内VPN软件通信协议中的漏洞，推送假软件更新，安装名为DoraRAT的恶意软件。该漏洞允许攻击者伪造数据包，使用户的PC误认为是合法的服务器更新，从而安装恶意版本。DoraRAT是一种轻量级的远程访问木马，具有最小功能，能够更隐蔽地操作。此次攻击中的变种被配置为窃取大型文件，如机械和设备设计文档，并将其传输到攻击者的指挥控制服务器。

NCSC建议，面临国家支持黑客攻击风险的网站运营商应请求韩国互联网与安全局（KISA）进行安全检查。此外，建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员认证。其他通用建议包括及时的软件和操作系统更新、持续的员工安全培训以及监控政府的网络安全公告，以快速识别和阻止新兴威胁。