Vom Staat Nordkorea unterstützte Hacker verteilen eine bösartige Version einer legitimen Anwendung, die von CyberLink, einem taiwanesischen Softwarehersteller, entwickelt wurde, an Kunden.
Das Microsoft Threat Intelligence-Team sagte dass nordkoreanische Hacker CyberLink kompromittiert hatten, um im Rahmen eines weitreichenden Lieferkettenangriffs eine modifizierte Installationsdatei des Unternehmens zu verbreiten.
CyberLink ist ein in Taiwan ansässiges Softwareunternehmen, das Multimedia-Software wie PowerDVD und KI-Gesichtserkennungstechnologie entwickelt. Nach Angaben des Unternehmens CyberLink-Website Es verfügt über mehr als 200 patentierte Technologien und hat weltweit mehr als 400 Millionen Anwendungen vertrieben.
Microsoft gab an, bereits am 20. Oktober 2023 verdächtige Aktivitäten im Zusammenhang mit dem modifizierten CyberLink-Installationsprogramm beobachtet zu haben, das vom Unternehmen als „LambLoad“ verfolgt wird. Bisher wurde das trojanisierte Installationsprogramm auf mehr als 100 Geräten in mehreren Ländern, darunter Japan, entdeckt. Taiwan, Kanada und die Vereinigten Staaten.
Laut Microsoft wird die Datei auf einer legitimen Update-Infrastruktur von CyberLink gehostet, und die Angreifer verwendeten laut Microsoft ein legitimes Code-Signatur-Zertifikat, das an CyberLink ausgestellt wurde, um die bösartige ausführbare Datei zu signieren, so Microsoft. „Dieses Zertifikat wurde zu Microsoft hinzugefügt in Ihrer Liste der nicht zugelassenen Zertifikate um Kunden vor künftiger böswilliger Nutzung zu schützen“, sagte das Threat Intelligence-Team von Microsoft.
Das Unternehmen stellte fest, dass eine in dieser Kampagne beobachtete Nutzlast der zweiten Phase mit der Infrastruktur interagiert, die zuvor von derselben Gruppe von Bedrohungsakteuren kompromittiert wurde.
Microsoft hat diesen Angriff mit „hoher Zuversicht“ einer Gruppe zugeschrieben, die es als Diamond Sleet verfolgt, einem mit Nordkorea verbundenen Akteur, der mit der berüchtigten Hackergruppe Lazarus verbunden ist. Es wurde beobachtet, dass diese Gruppe es auf Informationstechnologie-, Verteidigungs- und Medienorganisationen abgesehen hat. Dabei geht es laut Microsoft selbst vor allem um Spionage, finanziellen Gewinn und die Zerstörung von Unternehmensnetzwerken.
Microsoft sagte, es habe noch keine praktische Tastaturaktivität erkannt, stellte jedoch fest, dass Diamond Sleet-Angreifer häufig vorkommen Daten stehlen von kompromittierten Systemen, infiltrieren Software-Erstellungsumgebungen, arbeiten sich nach unten vor, um mehr Opfer auszunutzen, und versuchen, dauerhaften Zugriff auf die Umgebungen der Opfer zu erhalten.
Microsoft gab an, CyberLink über die Kompromittierung der Lieferkette informiert zu haben, sagte jedoch nicht, ob es eine Antwort erhalten hatte oder ob CyberLink angesichts der Erkenntnisse des Unternehmens Maßnahmen ergriffen hatte. Das Unternehmen benachrichtigt außerdem Microsoft Defender for Endpoint-Kunden, die von dem Angriff betroffen waren.
