Gli hacker sostenuti dallo stato nordcoreano stanno distribuendo ai clienti una versione dannosa di un'applicazione legittima sviluppata da CyberLink, un produttore di software taiwanese.
Il team di intelligence sulle minacce Microsoft suddetto che gli hacker nordcoreani avevano compromesso CyberLink per distribuire un file di installazione modificato dall'azienda come parte di un attacco ad ampio raggio alla catena di fornitura.
CyberLink è una società di software con sede a Taiwan che sviluppa software multimediale, come PowerDVD, e tecnologia di riconoscimento facciale AI. Secondo l'azienda Sito web di CyberLink Ha più di 200 tecnologie brevettate e ha distribuito più di 400 milioni di applicazioni in tutto il mondo.
Microsoft ha dichiarato di aver osservato attività sospette associate al programma di installazione CyberLink modificato, tracciato dalla società come "LambLoad", già a partire dal 20 ottobre 2023. Finora ha rilevato il programma di installazione affetto da trojan su più di 100 dispositivi in diversi paesi, tra cui il Giappone, Taiwan, Canada e Stati Uniti.
Secondo Microsoft, il file è ospitato su un'infrastruttura di aggiornamento legittima di proprietà di CyberLink, e gli aggressori hanno utilizzato un certificato di firma del codice legittimo rilasciato a CyberLink per firmare l'eseguibile dannoso, secondo Microsoft. “Questo certificato è stato aggiunto a Microsoft nell'elenco dei certificati non consentiti per proteggere i clienti da futuri usi dannosi", ha affermato il team Threat Intelligence di Microsoft.
L'azienda ha notato che un payload della seconda fase osservato in questa campagna interagisce con l'infrastruttura precedentemente compromessa dallo stesso gruppo di autori di minacce.
Microsoft ha attribuito questo attacco con “alta sicurezza” a un gruppo che rintraccia come Diamond Sleet, un attore associato alla Corea del Nord legato al famigerato gruppo di hacker Lazarus. È stato osservato che questo gruppo prende di mira organizzazioni del settore informatico, della difesa e dei media. E si concentra soprattutto sullo spionaggio, sul guadagno finanziario e sulla distruzione delle reti aziendali, secondo la stessa Microsoft.
Microsoft ha affermato di non aver ancora rilevato l'attività pratica della tastiera, ma ha notato che gli aggressori di Diamond Sleet comunemente rubano dati di sistemi compromessi, si infiltrano negli ambienti di creazione di software, si fanno strada per sfruttare più vittime e tentano di ottenere un accesso persistente agli ambienti delle vittime.
Microsoft ha dichiarato di aver informato CyberLink della compromissione della catena di fornitura, ma non ha detto se ha ricevuto una risposta o se CyberLink ha intrapreso qualche azione alla luce dei risultati dell'azienda. L'azienda sta inoltre informando i clienti Microsoft Defender for Endpoint colpiti dall'attacco.
