水坑伏击+双软件0日漏洞!Lazarus「SyncHole行动」横扫韩半导体/金融,一套模块化间谍武器全拆解

admin 2026-07-14 04:52:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Lazarus组织在2024-2025年发动Synchole行动,利用水坑攻击和韩国本土软件CrossEX、InnorixAgent的0day漏洞,入侵韩国半导体、金融等企业,部署ThreatNeedle、SignBT等模块化间谍工具,实现潜伏窃密和内网横向渗透。建议企业立即升级相关软件补丁,排查异常进程和网络连接。 综合评分: 89 文章分类: 漏洞分析,威胁情报,恶意软件,红队,内网渗透


cover_image

水坑伏击+双软件0日漏洞!Lazarus「SyncHole行动」横扫韩半导体/金融,一套模块化间谍武器全拆解

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月9日 11:59 广东

在小说阅读器读本章

去阅读

大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2024年11月—2025年2月,全球知名国家级APT Lazarus(拉撒路)落地代号SyncHole(同步陷阱)超长周期定向攻击,依托水坑钓鱼+韩国本土两款刚需软件漏洞,精准拿下韩国半导体、金融、IT、电信六大标杆企业。卡巴斯基GReAT团队完整披露全链路攻击细节:攻击者吃透韩国本土软件生态,分两阶段迭代多代定制木马,靠ThreatNeedle、SIGNBT、COPPERHEDGE等模块化间谍套件,实现潜伏窃密、内网横向渗透全闭环,大量未升级同类软件至今仍存被入侵隐患。

一、开局经典水坑钓鱼:逛新闻网站=被动中招,精准筛选目标

Lazarus放弃海量撒网式垃圾邮件,采用APT高阶水坑(Watering Hole)战术,瞄准韩国大众高频访问的本土新闻站点。

  1. 站点篡改+访客分流:黑客先期入侵多家韩国正规新闻网植入筛选脚本,正常访客照常浏览新闻,仅筛选目标行业IP(半导体、金融、政企办公网段)跳转钓鱼域名smartmanagerex[.]com,普通网民不会被诱导,大幅降低攻击暴露概率;

  2. 域名伪装套路:钓鱼网站套用目标厂商产品命名,页面使用通用汽车租赁HTML模板伪装正规服务商,从源头降低用户警惕;

  3. 漏洞触发落地:目标打开跳转页面后,页面脚本利用Cross EX漏洞,在系统合法进程SyncHost.exe内注入Shellcode,静默加载初代ThreatNeedle远控,全程无弹窗、无报错,用户完全无感。

Cross EX是韩国全民必备安全插件:用于网银、政务网站的防劫持、证书加密,全韩政企、金融电脑几乎预装,默认高权限后台常驻,天然成为黑客最佳突破口。

二、双软件漏洞破内网:Cross EX打入口,Innorix Agent做横向跳板

本次SyncHole最关键的杀手锏:手握两款韩国本土软件高危漏洞(含0day),实现外网破门→内网横向全渗透。

  1. Cross EX:外网初始入侵突破口

KrCERT事后确认该软件存在高危安全缺陷,攻击者借助漏洞依托SyncHost.exe合法进程内存注入恶意代码,恶意程序寄生在系统正规进程中,杀毒靠进程白名单无法查杀,6家受害企业全是从该漏洞进入内网。

  1. Innorix Agent 0day:内网穿墙神器

Innorix Agent是韩国政务、金融业标配文件传输工具,版本9.2.18.496存在攻击者专属0day漏洞(编号KVE-2025-0014),Lazarus定制专用漏洞利用器Agamemnon:

远程探测目标主机是否安装Innorix,命中后无文件落地远程下放载荷;

巧用DLL侧载,搭配系统自带AppVShNotify.exe,把恶意USERENV.dll注入启动,一键在内网批量种下ThreatNeedle,从单点入侵扩散全公司局域网;

卡巴研究员同步挖掘出该软件另一任意文件下载漏洞,提前上报厂商,3月官方紧急全量补丁升级。

三、分两阶段迭代木马武器库:从ThreatNeedle到SIGNBT,一套模块化间谍全家桶

Lazarus根据前期被安全厂商拦截情况,分两大攻击阶段迭代恶意套件,一代工具暴露立刻切换二代新样本,两套工具链功能互补,覆盖驻留、窃密、横向移动全场景。

【第一阶段:初代武器|ThreatNeedle+wAgent+Agamemnon】

  1. ThreatNeedle(主力远控,分加载器+内核双组件)

加密革新:采用Curve25519非对称密钥+ChaCha20流量加密,C2通信全密文,抓包无法破解指令;

多重驻留:三种隐藏落地方式,伪装IKEEXT系统服务、注册SSP安全提供程序、写入netsvcs服务组,任意一种被清理其余仍存活;

配套LPEClient情报采集器:上线自动抓取设备硬件、账号、软件清单,给攻击者绘制内网资产拓扑。

  1. wAgent(隐蔽数据回传工具)

伪装成intel目录下util.dll,靠rundll32调用启动,新增开源GMP库做RSA加密,支持JSON/表单双格式回传窃取数据,Cookie字段暗藏随机密钥,流量酷似正常软件后台上报。

  1. Agamemnon(漏洞投放加载器)

专门分发Innorix漏洞利用程序,独创双载荷注入模式:普通反射注入+开源Tartarus-TpAlloc隐蔽加载,靠;;分隔符拆分远程指令,灵活下发不同恶意样本。

【第二阶段:迭代换代|SIGNBT+COPPERHEDGE】

在初代攻击被安全机构预警拦截后,Lazarus快速改版切换第二代载荷SIGNBT,分为0.0.1初始版、1.2商用优化版两个版本:

  1. SIGNBT

0.0.1硬编码C2地址,1.2版本改为隐藏配置文件(伪装三星设置目录、微软DR目录),内置7个韩国本土被攻陷网站充当代理C2,RSA加密通信密钥,分批窃取浏览器密码、网银凭据;

  1. COPPERHEDGE(内网侦查专用)

老牌Manuscrypt变种,配置藏在IE缓存ADS隐流文件内,随机拼接bi/org/wib等参数伪装正常网页请求,内置30条系统探测指令,上线遍历全盘文档、服务器关键配置。

四、C2基建巧布局:霸占韩国正规网站,废弃域名改控马服务器

为规避域名封禁、IP拉黑,Lazarus全套C2基建全部寄生韩国合法资产:

  1. 大量C2节点是被黑客攻陷的韩国企业官网、博客站点、建站平台;

  2. 收购废弃企业域名(如thek-portal原韩国保险域名闲置后被黑客抢注),低成本搭建代理链路;

  3. 所有指令下发、数据回传流量混在正常网页资源请求中,防火墙流量审计难以区分恶意访问。

从攻击时间统计:黑客操作集中GMT+9时区(韩国时区),进一步佐证团伙针对性作战特征。

五、Lazarus战术进化:深耕区域软件已成固定套路

纵观Lazarus近年行动(GoldGoblin、DeathNote、Bookcode系列),专攻目标国本土刚需商用软件漏洞是固定打法:不盲目通用0day,深耕本地化生态,利用政企不得不装的合规安全工具做突破口,大幅降低入侵门槛与暴露风险。

从工具迭代看:早期恶意软件功能单一,当前全系列工具走向模块化拆分(加载器、远控、侦查、漏洞利用分开组件),按需拼装组合,被查杀可单独替换某一个模块,不用重构整套木马。

六、企业落地自查&防护指南(韩系软件用户必看)

1 软件补丁紧急升级

  1. Cross EX全量升级至厂商最新修复版,关闭不必要后台自启动权限;

  2. Innor Agent低于9.2.18.538版本立即打KVE-2025-0014漏洞补丁,无业务需求直接卸载闲置。

2 终端异常排查

检索系统SyncHost.exe进程下莫名子进程,排查C:\ProgramData\intel\util.dat可疑文件;

重点筛查Samsung、Microsoft\DR目录下陌生settings/drm配置文件(SIGNBT典型藏身路径);

监控开机新增无名系统服务、异常注册表自启项。

3 网络侧管控

防火墙拦截报告内7个恶意代理域名,审计终端异常外联小众韩国建站域名,禁止终端无理由外联陌生博客/模板类站点。

结语

SyncHole行动再次敲响供应链警钟:越是合规刚需的本土安全软件,越容易被APT盯上。很多企业只盯知名大厂软件漏洞,忽略小众行业配套工具,恰恰成为国家级黑客最容易撕开的突破口。Lazarus后续仍会持续深挖韩国各类政企配套软件漏洞,同类针对性水坑攻击短期内不会绝迹。

加入知识星球,可获取权益

一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?

三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);

四、适合谁?

 想突破职业天花板的安全工程师/架构师;

 需快速落地安全项目的企业负责人;

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《水坑伏击+双软件0日漏洞!Lazarus「SyncHole行动」横扫韩半导体/金融,一套模块化间谍武器全拆解》

评论:0   参与:  0