Hackers apoiados pelo Estado norte-coreano estão distribuindo versões maliciosas de aplicativos legítimos desenvolvidos pela fabricante de software taiwanesa CyberLink para atingir clientes downstream. Hackers norte-coreanos violaram o CyberLink e distribuíram os arquivos de instalação modificados da empresa como parte de um ataque generalizado à cadeia de suprimentos, disse a equipe de inteligência de ameaças da Microsoft na quarta-feira.

saber mais:

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/

CyberLink é uma empresa de software com sede em Taiwan que desenvolve principalmente software multimídia, como PowerDVD e tecnologia de reconhecimento facial de inteligência artificial. Segundo o site da empresa, a CyberLink possui mais de 200 tecnologias patenteadas e já enviou mais de 400 milhões de aplicativos em todo o mundo.

A Microsoft disse que descobriu atividades suspeitas já em 20 de outubro de 2023, relacionadas a um instalador CyberLink modificado, que a empresa rastreou como “LambLoad”. Até o momento, a Microsoft detectou o instalador do Trojan em mais de 100 dispositivos em vários países, incluindo Japão, Taiwan, Canadá e Estados Unidos.

A Microsoft disse que o arquivo estava hospedado em uma infraestrutura de atualização legítima de propriedade da CyberLink, e os invasores usaram um certificado de assinatura de código legítimo emitido para a CyberLink para assinar o executável malicioso. A equipe de inteligência de ameaças da Microsoft disse: “Este certificado foi adicionado à lista de certificados não permitidos da Microsoft para proteger os clientes de futuros usos maliciosos deste certificado”.

A empresa observou que a carga útil do segundo estágio observada durante esta campanha interagiu com infraestrutura anteriormente comprometida pelo mesmo grupo de atores de ameaças.

A Microsoft atribuiu o ataque com “um alto grau de confiança” a um grupo que rastreia chamado DiamondSleet, um ator estatal norte-coreano ligado ao notório grupo de hackers Lazarus. O grupo foi observado tendo como alvo organizações dos setores de tecnologia da informação, defesa e mídia. De acordo com a Microsoft, ele se concentra principalmente em espionagem, ganho financeiro e interrupção da rede corporativa.

A Microsoft observou que os invasores DiamondSleet normalmente roubam dados de sistemas comprometidos, infiltram-se em ambientes de construção de software, abrem caminho para explorar mais vítimas e tentam obter acesso persistente ao ambiente da vítima.

A Microsoft disse que notificou a CyberLink sobre o comprometimento da cadeia de suprimentos, mas não disse se recebeu uma resposta ou se a CyberLink tomou alguma ação com base nas descobertas da empresa. A empresa também notificou os clientes do Microsoft Defender for Endpoint que foram afetados pelo ataque.