Organisaties die gebruikmaken van beveiligingssoftware MagicLine4NX zijn eerder dit jaar het doelwit van een zeroday-aanval geworden, zo laten de Britse en Zuid-Koreaanse overheid in een gezamenlijke advisory weten. De aanval is volgens de autoriteiten het werk van de vanuit Noord-Korea opererende Lazarus Group. MagicLine4NX is een door het Zuid-Koreaanse Dream Security ontwikkelde beveiligingsoplossing waarmee gebruikers via een certificaat kunnen inloggen en digitale transacties kunnen signeren.

In maart van dit jaar maakten aanvallers gebruik van een kwetsbaarheid in MagicLine4NX om gebruikers onopgemerkt met malware te infecteren. Hiervoor werd gebruik gemaakt van een 'watering hole' aanval. Hierbij infecteren aanvallers een legitieme website die potentiële doelwitten al uit zichzelf bezoeken, om die vervolgens via een drive-by download-aanval met malware te infecteren.

In dit geval wisten de aanvallers een Zuid-Koreaanse nieuwssite te compromitteren en plaatsten daarop code die misbruik van het beveiligingslek in MagicLine4NX maakte. Zodra een bezoeker met een systeem waarop de software draait de nieuwssite bezocht werd die automatisch met malware geïnfecteerd. Vervolgens probeerden de aanvallers via deze besmette computer zich verder in het netwerk van de aangevallen organisatie te verspreiden en informatie te stelen.

De kwetsbaarheid werd eind maart al door het Zuid-Koreaanse antivirusbedrijf AhnLab gerapporteerd. Softwareleverancier Dream Security adviseert organisaties die van MagicLine4NX gebruikmaken de oplossing te verwijderen en een nieuwe versie te installeren.