Des pirates informatiques soutenus par l'État nord-coréen distribuent à leurs clients une version malveillante d'une application légitime développée par CyberLink, un éditeur de logiciels taïwanais.
L’équipe Microsoft Threat Intelligence dit que des pirates nord-coréens avaient compromis CyberLink pour distribuer un fichier d'installation modifié de l'entreprise dans le cadre d'une vaste attaque de la chaîne d'approvisionnement.
CyberLink est une société de logiciels basée à Taiwan qui développe des logiciels multimédias, tels que PowerDVD, et une technologie de reconnaissance faciale AI. Selon l'entreprise Site Web CyberLink Elle possède plus de 200 technologies brevetées et a distribué plus de 400 millions d'applications dans le monde.
Microsoft a déclaré avoir observé une activité suspecte associée au programme d'installation modifié de CyberLink, suivi par la société sous le nom de « LambLoad », dès le 20 octobre 2023. Jusqu'à présent, l'entreprise a détecté le programme d'installation du cheval de Troie sur plus de 100 appareils dans plusieurs pays, dont le Japon. Taïwan, Canada et États-Unis.
Le fichier est hébergé sur une infrastructure de mise à jour légitime appartenant à CyberLink, selon Microsoft, et les attaquants ont utilisé un certificat de signature de code légitime délivré à CyberLink pour signer l'exécutable malveillant, selon Microsoft. "Ce certificat a été ajouté à Microsoft dans votre liste de certificats refusés pour protéger les clients contre de futures utilisations malveillantes », a déclaré l'équipe Threat Intelligence de Microsoft.
La société a noté qu'une charge utile de deuxième phase observée dans cette campagne interagit avec une infrastructure précédemment compromise par le même groupe d'acteurs malveillants.
Microsoft a attribué cette attaque avec « une grande confiance » à un groupe qu'il suit sous le nom de Diamond Sleet, un acteur associé à la Corée du Nord et lié au célèbre groupe de hackers Lazarus. Ce groupe a été observé ciblant les organisations des technologies de l’information, de la défense et des médias. Et cela se concentre principalement sur l'espionnage, le gain financier et la destruction des réseaux d'entreprise, selon Microsoft lui-même.
Microsoft a déclaré qu'il n'avait pas encore détecté d'activité manuelle sur le clavier, mais a noté que les attaquants de Diamond Sleet ils volent des données des systèmes compromis, infiltrent les environnements de création de logiciels, se frayent un chemin pour exploiter davantage de victimes et tentent d'obtenir un accès persistant aux environnements des victimes.
Microsoft a déclaré avoir informé CyberLink de la compromission de la chaîne d'approvisionnement, mais n'a pas précisé s'il avait reçu une réponse ou si CyberLink avait pris des mesures à la lumière des conclusions de l'entreprise. La société informe également les clients Microsoft Defender for Endpoint touchés par l’attaque.
