夜雨聆风大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
2024年11月—2025年2月,全球知名国家级APT Lazarus(拉撒路)落地代号SyncHole(同步陷阱)超长周期定向攻击,依托水坑钓鱼+韩国本土两款刚需软件漏洞,精准拿下韩国半导体、金融、IT、电信六大标杆企业。卡巴斯基GReAT团队完整披露全链路攻击细节:攻击者吃透韩国本土软件生态,分两阶段迭代多代定制木马,靠ThreatNeedle、SIGNBT、COPPERHEDGE等模块化间谍套件,实现潜伏窃密、内网横向渗透全闭环,大量未升级同类软件至今仍存被入侵隐患。
一、开局经典水坑钓鱼:逛新闻网站=被动中招,精准筛选目标
Lazarus放弃海量撒网式垃圾邮件,采用APT高阶水坑(Watering Hole)战术,瞄准韩国大众高频访问的本土新闻站点。
1. 站点篡改+访客分流:黑客先期入侵多家韩国正规新闻网植入筛选脚本,正常访客照常浏览新闻,仅筛选目标行业IP(半导体、金融、政企办公网段)跳转钓鱼域名smartmanagerex[.]com,普通网民不会被诱导,大幅降低攻击暴露概率;
2. 域名伪装套路:钓鱼网站套用目标厂商产品命名,页面使用通用汽车租赁HTML模板伪装正规服务商,从源头降低用户警惕;
3. 漏洞触发落地:目标打开跳转页面后,页面脚本利用Cross EX漏洞,在系统合法进程SyncHost.exe内注入Shellcode,静默加载初代ThreatNeedle远控,全程无弹窗、无报错,用户完全无感。
> Cross EX是韩国全民必备安全插件:用于网银、政务网站的防劫持、证书加密,全韩政企、金融电脑几乎预装,默认高权限后台常驻,天然成为黑客最佳突破口。
二、双软件漏洞破内网:Cross EX打入口,Innorix Agent做横向跳板
本次SyncHole最关键的杀手锏:手握两款韩国本土软件高危漏洞(含0day),实现外网破门→内网横向全渗透。
1. Cross EX:外网初始入侵突破口
KrCERT事后确认该软件存在高危安全缺陷,攻击者借助漏洞依托SyncHost.exe合法进程内存注入恶意代码,恶意程序寄生在系统正规进程中,杀毒靠进程白名单无法查杀,6家受害企业全是从该漏洞进入内网。
2. Innorix Agent 0day:内网穿墙神器
Innorix Agent是韩国政务、金融业标配文件传输工具,版本9.2.18.496存在攻击者专属0day漏洞(编号KVE-2025-0014),Lazarus定制专用漏洞利用器Agamemnon:
远程探测目标主机是否安装Innorix,命中后无文件落地远程下放载荷;
巧用DLL侧载,搭配系统自带AppVShNotify.exe,把恶意USERENV.dll注入启动,一键在内网批量种下ThreatNeedle,从单点入侵扩散全公司局域网;
卡巴研究员同步挖掘出该软件另一任意文件下载漏洞,提前上报厂商,3月官方紧急全量补丁升级。
三、分两阶段迭代木马武器库:从ThreatNeedle到SIGNBT,一套模块化间谍全家桶
Lazarus根据前期被安全厂商拦截情况,分两大攻击阶段迭代恶意套件,一代工具暴露立刻切换二代新样本,两套工具链功能互补,覆盖驻留、窃密、横向移动全场景。
【第一阶段:初代武器|ThreatNeedle+wAgent+Agamemnon】
1. ThreatNeedle(主力远控,分加载器+内核双组件)
加密革新:采用Curve25519非对称密钥+ChaCha20流量加密,C2通信全密文,抓包无法破解指令;
多重驻留:三种隐藏落地方式,伪装IKEEXT系统服务、注册SSP安全提供程序、写入netsvcs服务组,任意一种被清理其余仍存活;
配套LPEClient情报采集器:上线自动抓取设备硬件、账号、软件清单,给攻击者绘制内网资产拓扑。
2. wAgent(隐蔽数据回传工具)
伪装成intel目录下util.dll,靠rundll32调用启动,新增开源GMP库做RSA加密,支持JSON/表单双格式回传窃取数据,Cookie字段暗藏随机密钥,流量酷似正常软件后台上报。
3. Agamemnon(漏洞投放加载器)
专门分发Innorix漏洞利用程序,独创双载荷注入模式:普通反射注入+开源Tartarus-TpAlloc隐蔽加载,靠`;;`分隔符拆分远程指令,灵活下发不同恶意样本。
【第二阶段:迭代换代|SIGNBT+COPPERHEDGE】
在初代攻击被安全机构预警拦截后,Lazarus快速改版切换第二代载荷SIGNBT,分为0.0.1初始版、1.2商用优化版两个版本:
1. SIGNBT
0.0.1硬编码C2地址,1.2版本改为隐藏配置文件(伪装三星设置目录、微软DR目录),内置7个韩国本土被攻陷网站充当代理C2,RSA加密通信密钥,分批窃取浏览器密码、网银凭据;
2. COPPERHEDGE(内网侦查专用)
老牌Manuscrypt变种,配置藏在IE缓存ADS隐流文件内,随机拼接bi/org/wib等参数伪装正常网页请求,内置30条系统探测指令,上线遍历全盘文档、服务器关键配置。
四、C2基建巧布局:霸占韩国正规网站,废弃域名改控马服务器
为规避域名封禁、IP拉黑,Lazarus全套C2基建全部寄生韩国合法资产:
1. 大量C2节点是被黑客攻陷的韩国企业官网、博客站点、建站平台;
2. 收购废弃企业域名(如thek-portal原韩国保险域名闲置后被黑客抢注),低成本搭建代理链路;
3. 所有指令下发、数据回传流量混在正常网页资源请求中,防火墙流量审计难以区分恶意访问。
从攻击时间统计:黑客操作集中GMT+9时区(韩国时区),进一步佐证团伙针对性作战特征。
五、Lazarus战术进化:深耕区域软件已成固定套路
纵观Lazarus近年行动(GoldGoblin、DeathNote、Bookcode系列),专攻目标国本土刚需商用软件漏洞是固定打法:不盲目通用0day,深耕本地化生态,利用政企不得不装的合规安全工具做突破口,大幅降低入侵门槛与暴露风险。
从工具迭代看:早期恶意软件功能单一,当前全系列工具走向模块化拆分(加载器、远控、侦查、漏洞利用分开组件),按需拼装组合,被查杀可单独替换某一个模块,不用重构整套木马。
六、企业落地自查&防护指南(韩系软件用户必看)
1 软件补丁紧急升级
1. Cross EX全量升级至厂商最新修复版,关闭不必要后台自启动权限;
2. Innor Agent低于9.2.18.538版本立即打KVE-2025-0014漏洞补丁,无业务需求直接卸载闲置。
2 终端异常排查
检索系统SyncHost.exe进程下莫名子进程,排查C:\ProgramData\intel\util.dat可疑文件;
重点筛查Samsung、Microsoft\DR目录下陌生settings/drm配置文件(SIGNBT典型藏身路径);
监控开机新增无名系统服务、异常注册表自启项。
3 网络侧管控
防火墙拦截报告内7个恶意代理域名,审计终端异常外联小众韩国建站域名,禁止终端无理由外联陌生博客/模板类站点。
结语
SyncHole行动再次敲响供应链警钟:越是合规刚需的本土安全软件,越容易被APT盯上。很多企业只盯知名大厂软件漏洞,忽略小众行业配套工具,恰恰成为国家级黑客最容易撕开的突破口。Lazarus后续仍会持续深挖韩国各类政企配套软件漏洞,同类针对性水坑攻击短期内不会绝迹。
加入知识星球,可获取权益
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
