Η Microsoft λέει ότι μια βορειοκορεατική ομάδα hacking παραβίασε την ταϊβανέζικη εταιρεία λογισμικού πολυμέσων CyberLink και εκτροποποίησε έναν από τους εγκαταστάτες της για να προωθήσει κακόβουλο λογισμικό σε μια επίθεση στην αλυσίδα εφοδιασμού που στοχεύει πιθανά θύματα σε όλο τον κόσμο.
Σύμφωνα με το Microsoft Threat Intelligence, η δραστηριότητα που υποπτεύεται ότι συνδέεται με το τροποποιημένο αρχείο εγκατάστασης CyberLink εμφανίστηκε ήδη στις 20 Οκτωβρίου 2023.
Αυτό το trojanized πρόγραμμα εγκατάστασης έχει εντοπιστεί σε περισσότερες από 100 συσκευές σε διάφορες χώρες σε όλο τον κόσμο, συμπεριλαμβανομένης της Ιαπωνίας, της Ταϊβάν, του Καναδά και των Ηνωμένων Πολιτειών.
Οι ειδικοί σε θέματα ασφάλειας της Microsoft απέδωσαν αυτήν την επίθεση στην αλυσίδα εφοδιασμού με μεγάλη εμπιστοσύνη σε μια ομάδα κυβερνοκατασκοπείας της Βόρειας Κορέας που παρακολουθείται από τον Redmond ως Diamond Sleet (γνωστός και ως ZINC, Labyrinth Chollima και Lazarus).
Το ωφέλιμο φορτίο δεύτερου σταδίου που παρατηρήθηκε κατά τη διερεύνηση αυτής της επίθεσης αλληλεπιδρά με την
υποδομή
που η ίδια ομάδα παραγόντων απειλής είχε προηγουμένως παραβιάσει.
“Η Diamond Sleet χρησιμοποίησε ένα νόμιμο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε στην CyberLink Corp. για να υπογράψει το κακόβουλο εκτελέσιμο αρχείο”, η εταιρεία
είπε
.
“Αυτό το πιστοποιητικό έχει προστεθεί στη Microsoft
λίστα μη επιτρεπόμενων πιστοποιητικών
για την προστασία των πελατών από μελλοντική κακόβουλη χρήση του πιστοποιητικού.”
Trojanized πρόγραμμα εγκατάστασης Cyberlink υπογεγραμμένο με νόμιμο πιστοποιητικό (BleepingComputer)
Η Microsoft παρακολουθεί το τρωανοποιημένο λογισμικό και τα σχετικά ωφέλιμα φορτία ως LambLoad, πρόγραμμα λήψης και φόρτωσης κακόβουλου λογισμικού.
Το LambLoad στοχεύει συστήματα που δεν προστατεύονται από λογισμικό ασφαλείας FireEye, CrowdStrike ή Tanium. Εάν δεν πληρούνται αυτές οι προϋποθέσεις, το κακόβουλο εκτελέσιμο αρχείο συνεχίζει να εκτελείται χωρίς να εκτελεστεί ο ομαδοποιημένος κακόβουλος κώδικας.
Ωστόσο, εάν πληρούνται τα κριτήρια, το κακόβουλο λογισμικό συνδέεται με έναν από τους τρεις διακομιστές εντολών και ελέγχου (C2) για να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου που είναι κρυμμένο μέσα σε ένα αρχείο που παρουσιάζεται ως αρχείο PNG χρησιμοποιώντας το στατικό User-Agent «Microsoft Internet Explorer .’
“Το αρχείο PNG περιέχει ένα ενσωματωμένο ωφέλιμο φορτίο μέσα σε μια ψεύτικη εξωτερική κεφαλίδα PNG που είναι σκαλισμένη, αποκρυπτογραφημένη και εκκινημένη στη μνήμη”, λέει η Microsoft.
Αυτή είναι μια συνηθισμένη μέθοδος επίθεσης που χρησιμοποιείται από τους Βορειοκορεάτες φορείς απειλών Lazarus, οι οποίοι είναι γνωστοί για την τρωανοποίηση του νόμιμου λογισμικού κρυπτονομισμάτων για την κλοπή περιουσιακών στοιχείων κρυπτονομισμάτων.
Παρόλο που η Microsoft δεν έχει ακόμη εντοπίσει την πρακτική δραστηριότητα στο πληκτρολόγιο μετά από παραβιάσεις κακόβουλου λογισμικού LambLoad, οι χάκερ Lazarus είναι γνωστοί για:
- Υποκλοπή ευαίσθητων δεδομένων από παραβιασμένα συστήματα
- Διείσδυση σε περιβάλλοντα κατασκευής λογισμικού
- Προοδεύει προς τα κάτω για την εκμετάλλευση περαιτέρω θυμάτων
- Καθιέρωση μόνιμης πρόσβασης στα περιβάλλοντα των θυμάτων
Μετά τον εντοπισμό επίθεσης στην αλυσίδα εφοδιασμού, η Microsoft ενημέρωσε το CyberLink και ειδοποιεί επίσης το Microsoft Defender για πελάτες Endpoint που επηρεάστηκαν από την επίθεση.
Η Microsoft ανέφερε επίσης την επίθεση στο
GitHub
, το οποίο αφαίρεσε το ωφέλιμο φορτίο δεύτερου σταδίου σύμφωνα με τις Πολιτικές Αποδεκτής Χρήσης της.
Ένας εκπρόσωπος της CyberLink δεν απάντησε αμέσως στο αίτημα της BleepingComputer για σχολιασμό.
Ποιος είναι ο Λάζαρος;
Το Lazarus Group είναι μια ομάδα hacking που υποστηρίζεται από τη Βόρεια Κορέα και λειτουργεί για περισσότερα από δέκα χρόνια, τουλάχιστον από το 2009.
Γνωστή για τη στόχευση οργανισμών σε όλο τον κόσμο, οι δραστηριότητές τους μέχρι στιγμής περιλαμβάνουν επιθέσεις σε χρηματοπιστωτικά ιδρύματα, μέσα ενημέρωσης και κυβερνητικές
υπηρεσίες
.
Ο Lazarus έχει συνδεθεί με ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων που περιλαμβάνουν κατασκοπεία, παραβιάσεις δεδομένων και οικονομική εκμετάλλευση. Οι καμπάνιες τους αφορούσαν επίσης τη στόχευση ερευνητών ασφάλειας, την ενσωμάτωση κακόβουλου κώδικα σε
πλατφόρμες
κρυπτονομισμάτων ανοιχτού κώδικα, την εκτέλεση τεράστιων ληστειών κρυπτονομισμάτων και τη χρήση ψευδών συνεντεύξεων
εργασία
ς για τη διάδοση κακόβουλου λογισμικού.
Η ομάδα πιστεύεται ότι βρίσκεται πίσω από πολλές επιθέσεις στον κυβερνοχώρο υψηλού προφίλ, συμπεριλαμβανομένων των
Hack της Sony Pictures 2014
την επίθεση ransomware WannaCry του 2017 και το μεγαλύτερο hack κρυπτογράφησης που έγινε ποτέ το 2022.
VIA:
bleepingcomputer.com
