Tehisintellekt
Põhja-Korea riigi toetatud häkkerid levitavad klientidele Taiwani tarkvaratootja CyberLink poolt välja töötatud legitiimse rakenduse pahatahtlikku versiooni.
Microsofti ohuluure meeskond DIJO et Põhja-Korea häkkerid olid laiaulatusliku tarneahela rünnaku osana kompromiteerinud CyberLinki, et levitada ettevõtte muudetud installifaili.
CyberLink on Taiwanis asuv tarkvaraettevõte, mis arendab multimeediumitarkvara, nagu PowerDVD, ja AI näotuvastustehnoloogiat. Ettevõtte sõnul CyberLinki veebisait Sellel on üle 200 patenteeritud tehnoloogia ja see on levitanud üle 400 miljoni rakenduse üle maailma.
Microsoft teatas, et täheldas juba 20. oktoobril 2023 kahtlast tegevust, mis on seotud modifitseeritud CyberLinki installeriga, mida ettevõte jälgis kui "LambLoad". Seni on ta tuvastanud troojastatud installija enam kui 100 seadmes mitmes riigis, sealhulgas Jaapanis. Taiwan, Kanada ja USA.
Microsofti andmetel majutatakse faili CyberLinkile kuuluvas seaduslikus värskendusinfrastruktuuris ja Microsofti sõnul kasutasid ründajad pahatahtliku käivitatava faili allkirjastamiseks CyberLinkile välja antud seaduslikku koodi allkirjastamise sertifikaati. "See sertifikaat on Microsoftile lisatud teie keelatud sertifikaatide loendis et kaitsta kliente tulevase pahatahtliku kasutamise eest,” ütles Microsofti Threat Intelligence'i meeskond.
Ettevõte märkis, et selles kampaanias täheldatud teise etapi kasulik koormus toimib koos infrastruktuuriga, mida sama ohus osalejate rühm varem ohustas.
Microsoft on omistanud selle rünnaku "suure kindlustundega" grupile, mida ta jälgib Diamond Sleetina, Põhja-Koreaga seotud näitlejana, kes on seotud kurikuulsa häkkerirühmaga Lazarus. On täheldatud, et see rühm on suunatud infotehnoloogia-, kaitse- ja meediaorganisatsioonidele. Microsofti enda sõnul keskendub see peamiselt spionaažile, rahalisele kasule ja ettevõtete võrkude hävitamisele.
Microsoft ütles, et pole veel avastanud praktilist klaviatuuri tegevust, kuid märkis, et Diamond Sleet ründavad sageli nad varastavad andmeid ohustatud süsteemidest, imbuvad tarkvara loomise keskkondadesse, püüavad rohkem ohvreid ära kasutada ja püüavad saada püsivat juurdepääsu ohvrite keskkondadele.
Microsoft teatas, et teavitas CyberLinki tarneahela kompromissist, kuid ei öelnud, kas sai vastuse või kas CyberLink oli ettevõtte leidude valguses midagi ette võtnud. Ettevõte teavitab ka Microsoft Defender for Endpointi kliente, keda rünnak mõjutas.
