数据来源:Lazarus APT updates its toolset in watering hole attacks | Securelist (2025年4月24日)
事件概览:Lazarus 再次瞄准韩国软件生态
“Operation SyncHole”是朝鲜背景的高级持续性威胁组织 Lazarus 在2024年底至2025年初发起的一场高度针对性的网络攻击行动。该行动主要针对韩国的软件、金融、半导体制造和电信行业,利用韩国特有的互联网安全环境,通过“水坑攻击 + 本地软件漏洞利用”的组合拳,成功渗透至少六家关键企业,并可能波及更多未被发现的受害者。
最令人震惊的是,Lazarus 并未使用复杂的0day漏洞,而是精准利用了两款在韩国广泛部署的本土安全软件中的缺陷——Cross EX 和 Innorix Agent,实现了从初始入侵到横向移动的完整攻击链。
这不仅是一次技术攻击,更是一次对国家数字基础设施生态链的精准打击。
攻击路径:从“水坑”到内存注入
1. 初始入口:水坑攻击(Watering Hole Attack)
攻击始于典型的水坑攻击策略:
- Lazarus 黑客入侵了多个韩国主流在线媒体网站;
- 当目标用户(如企业员工)访问这些网站时,服务器端脚本会进行访客筛选,仅将符合特定条件的用户(如安装了特定软件)重定向至恶意站点;
- 恶意站点伪装成合法软件下载页(如
smartmanagerex[.]com),诱导浏览器触发漏洞。
攻击逻辑:
不是随机撒网,而是“守株待兔”——只攻击那些已经安装了特定韩国安全软件的用户,极大提升了攻击效率和隐蔽性。
2. 漏洞利用:针对 Cross EX 的未知漏洞
Lazarus 利用了一个尚未公开披露的漏洞(one-day vulnerability),攻击韩国本地软件 Cross EX。
为什么是 Cross EX?
- Cross EX 是一款在韩国广泛使用的浏览器兼容性工具,用于支持在线银行、政府服务所需的数字证书和防键盘记录功能;
- 它必须常驻后台运行,且在安装后拥有较高系统权限;
- 几乎所有韩国企业员工的电脑都安装了此类软件。
攻击者通过恶意脚本,利用 Cross EX 的漏洞,在用户不知情的情况下:
- 启动合法进程
SyncHost.exe; - 向该进程中注入 shellcode;
- 加载 ThreatNeedle 后门程序(内存驻留,无文件落地)。
这种“合法进程+内存注入”的方式,完美绕过传统杀毒软件和EDR的文件扫描机制。
攻击阶段演进:从 ThreatNeedle 到 SIGNBT
卡巴斯基将此次攻击分为两个阶段,反映了 Lazarus 组织在被发现后的快速战术调整。
第一阶段:ThreatNeedle 主导,建立持久控制
- ThreatNeedle 是 Lazarus 的旗舰级后门,此次为“ThreatNeedleTea”变种;
- 支持模块化加载,可通过配置文件实现持久化(如注册为服务DLL、SSP注入);
- 使用 Curve25519 密钥交换 + ChaCha20 加密通信,通信数据为JSON格式,极难检测;
- 配合 wAgent 和 Agamemnon 下载器,实现插件化扩展和二次载荷投递。
🔍 技术亮点:
wAgent 此次使用了开源的 GMP 库进行RSA加密,这是 Lazarus 工具链中首次出现,表明其正在吸收开源技术以增强隐蔽性。
第二阶段:SIGNBT 上线,战术升级
在卡巴斯基首次披露攻击后,Lazarus 迅速切换至第二阶段,启用新版本的 SIGNBT 恶意软件。
| 特性 | 说明 |
| SIGNBT 0.0.1 | 内存注入初始载荷,硬编码C2地址,用于快速获取系统权限 |
| SIGNBT 1.2(“Hijacking”版) | 轻量化设计,专注于加载其他模块,减少特征暴露 |
| 通信加密 | 使用RSA公钥加密AES会话密钥,所有流量加密传输 |
| 配置文件隐藏 | 存储在 |
战术意图:
从“全面控制”转向“快速渗透+隐蔽执行”,表明 Lazarus 已意识到暴露风险,正在加速攻击节奏。
横向移动:利用 Innorix Agent 扩散感染
在控制初始主机后,Lazarus 使用一款名为 Innorix abuser 的工具,对内网其他主机进行横向移动。
攻击原理:
- Innorix Agent 是另一款韩国本土文件传输软件,广泛用于企业内部文档交换;
- Lazarus 利用其未验证网络请求的漏洞,向内网主机发送恶意指令;
- 目标主机误认为是合法流量,自动从攻击者指定URL下载并执行恶意文件;
- 通过DLL侧加载(Sideload)技术,加载
USERENV.dll,最终执行 ThreatNeedle 或 LPEClient。
⚠️ 风险提示:
由于 Innorix Agent 在韩国企业中普及率极高,一旦某台机器被控,整个内网都可能被“链式感染”。
🔍 卡巴斯基的意外发现:
研究人员在分析过程中,提前发现了一个尚未被利用的零日漏洞(KVE-2025-0014),并已通报韩国互联网安全局(KrCERT)和厂商。目前该漏洞已在2025年3月的更新中修复。
这凸显了主动威胁狩猎在防御高级威胁中的关键作用。
COPPERHEDGE:用于内部侦察的“老将”
在攻击后期,Lazarus 部署了 COPPERHEDGE(美国CISA命名的Manuscrypt变种),主要用于:
- 收集系统信息(用户名、进程、网络共享);
- 创建恶意服务;
- 探测高价值目标主机(如域控、数据库服务器);
- 为后续数据窃取或勒索攻击做准备。
其通信方式极具迷惑性:
- C2流量伪装成正常HTTP请求;
- 参数名随机使用
bih、aqs、org等常见字段; - 配置信息隐藏在NTFS ADS(替代数据流)中,极难被发现。
有趣的是,研究人员发现攻击者在使用 taskkill 命令时犯了语法错误(误用PID代替进程名),表明其仍在手动执行部分操作,尚未完全自动化。
攻击溯源与时间分析
卡巴斯基通过多维度数据进行归因:
| 证据 | 分析结论 |
|---|---|
| 恶意软件家族 | ThreatNeedle、SIGNBT、COPPERHEDGE 均为 Lazarus 标志性工具 |
| TTPs(战术、技术与流程) | 与 Bookcode、DeathNote 等历史行动高度一致 |
| C2基础设施 | 多个域名注册于韩国ISP,部分为废弃域名被重新注册 |
| 攻击时间窗口 | 大部分操作集中在GMT+9 时区的白天(00:00–09:00 UTC),符合朝鲜工作时间 |
✅ 综合判断:攻击者极大概率位于朝鲜半岛北部,具备国家级APT能力。
受害者画像与影响范围
- 已确认受害者:至少6家韩国企业,涵盖:
- 软件开发
- IT服务
- 金融
- 半导体制造
- 电信
- 潜在风险:由于 Cross EX 和 Innorix Agent 在韩国的强制安装属性,实际受影响企业可能远超已知数量。
📌 地缘政治背景:
Lazarus 长期以韩国为目标,此次攻击可能与经济情报窃取、资金筹措(如后续部署勒索软件)或供应链污染有关。
趋势洞察:Lazarus 的“本土化”攻击哲学
Lazarus 的攻击模式已从“通用漏洞攻击”演变为“深度本土化定制攻击”,其核心策略包括:
| 策略 | 实现方式 |
| 理解目标生态 | 深入研究韩国特有的安全软件(如Cross EX、Innorix) |
| 供应链切入 | 不攻击企业,而是攻击企业“必须使用”的第三方软件 |
| 轻量化与模块化 | 新版SIGNBT、wAgent支持插件化,降低IOC暴露风险 |
| 规避检测 | 内存驻留、ADS隐藏、合法域名C2、随机化通信参数 |
这种“知彼知己,百战不殆”的打法,使其成为全球最具威胁的APT组织之一。
防御建议:如何应对此类“生态级”攻击?
✅ 企业应采取的措施:
| 措施 | 说明 |
| 及时更新本土软件 | 特别是 Cross EX、Innorix Agent 等韩国专用工具,确保打上最新补丁 |
| 监控内存行为 | 部署EDR/XDR解决方案,检测SyncHost.exe等合法进程的异常注入 |
| 限制软件权限 | 对 Cross EX 等高权限软件实施最小权限原则,避免常驻高完整性级别 |
| 审计计划任务与服务 | 检查是否有可疑服务注册(如 netsvcs、IKEEXT) |
| 检测ADS隐藏文件 | 使用专业工具扫描%AppData%等目录的NTFS替代数据流 |
| 加强水坑攻击防护 | 使用安全网关过滤恶意重定向,限制员工访问非必要网站 |
✅ 个人用户建议:
- 不随意访问不明网站;
- 定期更新系统和安全软件;
- 启用防火墙和反病毒软件。
结语
“Operation SyncHole”再次证明:
最危险的攻击,不是来自未知的0day,而是来自你每天都在用的“安全软件”。
Lazarus 组织通过精准利用韩国数字生态的“信任链”,实现了从水坑攻击到横向移动的完整闭环。这不仅是技术的胜利,更是对国家网络安全体系的严峻考验。
面对这类“知根知底”的对手,我们必须从“被动防御”转向“主动狩猎”,不仅要修补漏洞,更要理解攻击者的思维模式,才能在无形的网络战场上立于不败之地。