Hackers apoiados pelo Estado norte-coreano estão distribuindo aos clientes uma versão maliciosa de um aplicativo legítimo desenvolvido pela CyberLink, uma fabricante de software taiwanesa.
A equipe de inteligência de ameaças da Microsoft dito que hackers norte-coreanos comprometeram o CyberLink para distribuir um arquivo de instalação modificado da empresa como parte de um amplo ataque à cadeia de suprimentos.
CyberLink é uma empresa de software com sede em Taiwan que desenvolve software multimídia, como PowerDVD, e tecnologia de reconhecimento facial AI. De acordo com a empresa Site CyberLink Possui mais de 200 tecnologias patenteadas e já distribuiu mais de 400 milhões de aplicações em todo o mundo.
A Microsoft disse ter observado atividades suspeitas associadas ao instalador CyberLink modificado, rastreado pela empresa como “LambLoad”, já em 20 de outubro de 2023. Até agora, ela detectou o instalador trojanizado em mais de 100 dispositivos em vários países, incluindo o Japão, Taiwan, Canadá e Estados Unidos.
O arquivo está hospedado em uma infraestrutura de atualização legítima de propriedade da CyberLink, de acordo com a Microsoft, e os invasores usaram um certificado de assinatura de código legítimo emitido para a CyberLink para assinar o executável malicioso, de acordo com a Microsoft. “Este certificado foi adicionado à Microsoft na sua lista de certificados não permitidos para proteger os clientes contra uso malicioso futuro”, disse a equipe de Threat Intelligence da Microsoft.
A empresa observou que uma carga útil de segunda fase observada nesta campanha interage com infraestrutura anteriormente comprometida pelo mesmo grupo de atores de ameaças.
A Microsoft atribuiu este ataque com “alta confiança” a um grupo que rastreia como Diamond Sleet, um ator associado à Coreia do Norte ligado ao notório grupo de hackers Lazarus. Este grupo foi observado tendo como alvo organizações de tecnologia da informação, defesa e mídia. E se concentra predominantemente na espionagem, no ganho financeiro e na destruição de redes corporativas, segundo a própria Microsoft.
A Microsoft disse que ainda não detectou atividade prática no teclado, mas observou que os invasores Diamond Sleet comumente eles roubam dados de sistemas comprometidos, infiltram-se em ambientes de criação de software, descem para explorar mais vítimas e tentam obter acesso persistente aos ambientes das vítimas.
A Microsoft disse que notificou a CyberLink sobre o comprometimento da cadeia de suprimentos, mas não disse se recebeu uma resposta ou se a CyberLink tomou alguma medida à luz das descobertas da empresa. A empresa também está notificando os clientes do Microsoft Defender for Endpoint que foram afetados pelo ataque.