数据来源:Lazarus APT updates its toolset in watering hole attacks | Securelist (2025年4月24日)
事件概览:Lazarus 再次瞄准韩国软件生态
“Operation SyncHole”是朝鲜背景的高级持续性威胁组织 Lazarus 在2024年底至2025年初发起的一场高度针对性的网络攻击行动。该行动主要针对韩国的软件、金融、半导体制造和电信行业,利用韩国特有的互联网安全环境,通过“水坑攻击 + 本地软件漏洞利用”的组合拳,成功渗透至少六家关键企业,并可能波及更多未被发现的受害者。
最令人震惊的是,Lazarus 并未使用复杂的0day漏洞,而是精准利用了两款在韩国广泛部署的本土安全软件中的缺陷——Cross EX 和 Innorix Agent,实现了从初始入侵到横向移动的完整攻击链。
这不仅是一次技术攻击,更是一次对国家数字基础设施生态链的精准打击。
攻击路径:从“水坑”到内存注入
1. 初始入口:水坑攻击(Watering Hole Attack)
攻击始于典型的水坑攻击策略:
Lazarus 黑客入侵了多个韩国主流在线媒体网站;
当目标用户(如企业员工)访问这些网站时,服务器端脚本会进行访客筛选,仅将符合特定条件的用户(如安装了特定软件)重定向至恶意站点;
恶意站点伪装成合法软件下载页(如
smartmanagerex[.]com),诱导浏览器触发漏洞。
攻击逻辑:
不是随机撒网,而是“守株待兔”——只攻击那些已经安装了特定韩国安全软件的用户,极大提升了攻击效率和隐蔽性。
2. 漏洞利用:针对 Cross EX 的未知漏洞
Lazarus 利用了一个尚未公开披露的漏洞(one-day vulnerability),攻击韩国本地软件 Cross EX。
为什么是 Cross EX?
Cross EX 是一款在韩国广泛使用的浏览器兼容性工具,用于支持在线银行、政府服务所需的数字证书和防键盘记录功能;
它必须常驻后台运行,且在安装后拥有较高系统权限;
几乎所有韩国企业员工的电脑都安装了此类软件。
攻击者通过恶意脚本,利用 Cross EX 的漏洞,在用户不知情的情况下:
启动合法进程
SyncHost.exe;向该进程中注入 shellcode;
加载 ThreatNeedle 后门程序(内存驻留,无文件落地)。
这种“合法进程+内存注入”的方式,完美绕过传统杀毒软件和EDR的文件扫描机制。
攻击阶段演进:从 ThreatNeedle 到 SIGNBT
卡巴斯基将此次攻击分为两个阶段,反映了 Lazarus 组织在被发现后的快速战术调整。
第一阶段:ThreatNeedle 主导,建立持久控制
ThreatNeedle 是 Lazarus 的旗舰级后门,此次为“ThreatNeedleTea”变种;
支持模块化加载,可通过配置文件实现持久化(如注册为服务DLL、SSP注入);
使用 Curve25519 密钥交换 + ChaCha20 加密通信,通信数据为JSON格式,极难检测;
配合 wAgent 和 Agamemnon 下载器,实现插件化扩展和二次载荷投递。
🔍 技术亮点:
wAgent 此次使用了开源的 GMP 库进行RSA加密,这是 Lazarus 工具链中首次出现,表明其正在吸收开源技术以增强隐蔽性。
第二阶段:SIGNBT 上线,战术升级
在卡巴斯基首次披露攻击后,Lazarus 迅速切换至第二阶段,启用新版本的 SIGNBT 恶意软件。
战术意图:
从“全面控制”转向“快速渗透+隐蔽执行”,表明 Lazarus 已意识到暴露风险,正在加速攻击节奏。
横向移动:利用 Innorix Agent 扩散感染
在控制初始主机后,Lazarus 使用一款名为 Innorix abuser 的工具,对内网其他主机进行横向移动。
攻击原理:
Innorix Agent 是另一款韩国本土文件传输软件,广泛用于企业内部文档交换;
Lazarus 利用其未验证网络请求的漏洞,向内网主机发送恶意指令;
目标主机误认为是合法流量,自动从攻击者指定URL下载并执行恶意文件;
通过DLL侧加载(Sideload)技术,加载
USERENV.dll,最终执行 ThreatNeedle 或 LPEClient。
⚠️ 风险提示:
由于 Innorix Agent 在韩国企业中普及率极高,一旦某台机器被控,整个内网都可能被“链式感染”。
🔍 卡巴斯基的意外发现:
研究人员在分析过程中,提前发现了一个尚未被利用的零日漏洞(KVE-2025-0014),并已通报韩国互联网安全局(KrCERT)和厂商。目前该漏洞已在2025年3月的更新中修复。
这凸显了主动威胁狩猎在防御高级威胁中的关键作用。
COPPERHEDGE:用于内部侦察的“老将”
在攻击后期,Lazarus 部署了 COPPERHEDGE(美国CISA命名的Manuscrypt变种),主要用于:
收集系统信息(用户名、进程、网络共享);
创建恶意服务;
探测高价值目标主机(如域控、数据库服务器);
为后续数据窃取或勒索攻击做准备。
其通信方式极具迷惑性:
C2流量伪装成正常HTTP请求;
参数名随机使用
bih、aqs、org等常见字段;配置信息隐藏在NTFS ADS(替代数据流)中,极难被发现。
有趣的是,研究人员发现攻击者在使用 taskkill 命令时犯了语法错误(误用PID代替进程名),表明其仍在手动执行部分操作,尚未完全自动化。
攻击溯源与时间分析
卡巴斯基通过多维度数据进行归因:
✅ 综合判断:攻击者极大概率位于朝鲜半岛北部,具备国家级APT能力。
受害者画像与影响范围
已确认受害者:至少6家韩国企业,涵盖:
软件开发
IT服务
金融
半导体制造
电信
潜在风险:由于 Cross EX 和 Innorix Agent 在韩国的强制安装属性,实际受影响企业可能远超已知数量。
📌 地缘政治背景:
Lazarus 长期以韩国为目标,此次攻击可能与经济情报窃取、资金筹措(如后续部署勒索软件)或供应链污染有关。
趋势洞察:Lazarus 的“本土化”攻击哲学
Lazarus 的攻击模式已从“通用漏洞攻击”演变为“深度本土化定制攻击”,其核心策略包括:
这种“知彼知己,百战不殆”的打法,使其成为全球最具威胁的APT组织之一。
防御建议:如何应对此类“生态级”攻击?
✅ 企业应采取的措施:
✅ 个人用户建议:
不随意访问不明网站;
定期更新系统和安全软件;
启用防火墙和反病毒软件。
结语
“Operation SyncHole”再次证明:
最危险的攻击,不是来自未知的0day,而是来自你每天都在用的“安全软件”。
Lazarus 组织通过精准利用韩国数字生态的“信任链”,实现了从水坑攻击到横向移动的完整闭环。这不仅是技术的胜利,更是对国家网络安全体系的严峻考验。
面对这类“知根知底”的对手,我们必须从“被动防御”转向“主动狩猎”,不仅要修补漏洞,更要理解攻击者的思维模式,才能在无形的网络战场上立于不败之地。