O Serviço Nacional de Inteligência da Coreia (NIS) e o Centro Nacional de Segurança Cibernética (NCSC) emitiram um relatório conjunto alertando sobre novos ataques à cadeia de suprimentos.
Estes ataques exploram uma falha zero day no software MagicLine4NX e são atribuídos ao grupo de ameaças Lazarus, baseado na Coreia do Norte. Os atores de ameaças estão explorando a falha para atacar organizações em todo o mundo, com foco principal na Coreia do Sul. A falha afeta versões anteriores à 1.0.026 do MagicLine4NX.
O ataque começa com uma técnica de watering hole, onde os atacantes comprometem o site de um meio de comunicação e implantam scripts maliciosos em um artigo. Os scripts são projetados para atingir visitantes usando determinadas faixas de IP.
Quando usuários com a versão vulnerável do software visitam os artigos no site comprometido, o código malicioso é executado em seus sistemas, permitindo que os atacantes assumam o controle dos sistemas. As funções do código incluem reconhecimento, exfiltração de dados, download e execução de cargas úteis criptografadas do C2 e movimento lateral na rede.
Além de lançar ataques à cadeia de suprimentos, o grupo de hackers tem sido associado a vários roubos de criptomoedas. O Lazarus foi relatado como tendo acumulado mais de $290 milhões em fundos roubados de cinco assaltos a criptomoedas realizados em um período de três meses.