Az Egyesült Királyság Nemzeti Kiberbiztonsági Központ (NCSC) és a koreai Nemzeti Hírszerző Szolgálat (NIS) arra figyelmeztet, hogy az észak-koreai Lazarus hackercsoport ellátási láncot érintő támadásokat hajt végre a MagicLine4NX szoftverben található zero-day sebezhetőséget kihasználva.
A MagicLine4NX a dél-koreai Dream Security vállalat által kifejlesztett biztonsági hitelesítési szoftver, amelyet a szervezetek biztonságos bejelentkezésekhez használnak.
A közös kiberbiztonsági tanácsadás szerint a támadók a termékben található nulladik napi sebezhetőséget használták ki a célpontjaik, elsősorban dél-koreai intézmények ellen.
2023 márciusában a támadók a biztonsági hitelesítés és a hálózathoz kapcsolódó rendszerek szoftveres sebezhetőségeinek sorozatát arra használták fel, hogy jogosulatlan hozzáférést szerezzenek egy célszervezet intranetjéhez. A MagicLine4NX biztonsági hitelesítési program szoftveres sebezhetőségét használták fel a célpont internetkapcsolattal rendelkező számítógépére történő kezdeti behatoláshoz, majd a hálózathoz kapcsolt rendszer zero-day sebezhetőségét kihasználva oldalirányban haladt, és jogosulatlan hozzáférést szerzett az információkhoz.
A támadás egy médium weboldalának kompromittálásával kezdődött, hogy rosszindulatú scripteket ágyazzanak be egy cikkbe, ami lehetővé tette a „watering hole” támadást. Amikor bizonyos IP-tartományokból bizonyos célpontok meglátogatták a cikket a kompromittált webhelyen, a scriptek rosszindulatú kódot hajtottak végre a MagicLine4NX szoftver említett sebezhetőségének kihasználásával, amely az 1.0.0.26 előtti verziókat érintette. Ennek eredményeképpen az áldozat számítógépe a támadók C2 (command and control) szerveréhez csatlakozott, így a támadók egy hálózatba kapcsolt rendszer sebezhetőségét kihasználva hozzáférhettek egy internetoldali szerverhez.
E rendszer adatszinkronizálási funkcióját felhasználva az észak-koreai hackerek információt lopó kódot telepíthettek a szerverre, veszélyeztetve a célszervezeten belüli számítógépeket. Az elejtett kód két C2 kiszolgálóhoz kapcsolódott, amelyek közül az egyik egy középső átjáróként működött, a másik pedig az interneten kívül helyezkedett el. A rosszindulatú kód funkciói közé tartozik a felderítés, az adatok szivárogtatása, a titkosított payload-ok letöltése és végrehajtása a C2-ről, valamint az oldalirányú hálózati mozgás.
