朝鲜黑客组织 Lazarus对韩国发起新1轮Sinkhole网络攻击行动

卡巴斯基分析团队 GReAT 将朝鲜的这次新网络攻击命名为“同步洞行动”。分析称，Lazarus对韩国国内软件生态系统有着高度的了解，结合“水坑”攻击和第三方软件的漏洞，实施了一次先进的供应链攻击。

Lazarus首先采用水坑攻击的方式进行攻击，向韩国国内网络媒体网站植入恶意脚本。

符合条件的网站访问者将被重定向到攻击者的恶意域并受到感染。

在此过程中，正版安全软件“CrossEX”的子进程SyncHost.exe被利用来安装恶意软件。

CrossEX是韩国国产的用于联动浏览器安全工具的专用软件，近日官方确认存在漏洞并进行了更新。


另外需要注意的是，Lazarus此次攻击的核心是针对韩国国内的行政、金融机构广泛使用的安全文件传输软件“Innorix Agent”的零日漏洞。

Lazarus 试图利用此漏洞“横向移动”到受感染的系统中，并通过分发“ThreatNeedle”和“LPEClient”等恶意软件（它们是 Lazarus 恶意软件的代表性样本）来控制内部网络。

该恶意软件通过名为“Agamemnon”的下载程序进行分发，目标是存在漏洞的 Inorix 版本（9.2.18.496）。




卡巴斯基向韩国互联网安全局（KrCERT）和开发商报告了此问题，漏洞（KVE-2025-0014）立即得到修补。

卡巴斯基实验室主任伊戈尔·库兹涅佐夫表示：“依赖旧系统和区域软件的环境对攻击者来说很具吸引力，因为第三方浏览器插件和辅助工具通常以提升的权限运行。”

卡巴斯基建议应对Lazarus等APT攻击的措施包括：

△更新软件至最新版本
△审计网络和资产安全
△建立基于EDR/XDR的实时威胁响应系统
△利用最新的威胁情报