Οι χάκερ που υποστηρίζονται από τη Βόρεια Κορέα στοχεύουν χρήστες του CyberLink σε επίθεση εφοδιαστικής αλυσίδας

Χάκερ

που υποστηρίζονται από το κράτος της Βόρειας Κορέας διανέμουν μια κακόβουλη έκδοση μιας νόμιμης εφαρμογής που αναπτύχθηκε από την CyberLink, έναν κατασκευαστή λογισμικού από την Ταϊβάν, για να στοχεύσει πελάτες μεταγενέστερων σταδίων.

Η ομάδα Threat Intelligence της Microsoft

είπε

Την Τετάρτη, Βορειοκορεάτες χάκερ είχαν παραβιάσει το CyberLink για να διανείμει ένα τροποποιημένο αρχείο εγκατάστασης από την εταιρεία ως μέρος μιας ευρείας εμβέλειας επίθεσης στην αλυσίδα εφοδιασμού.

Η CyberLink είναι μια εταιρεία λογισμικού με έδρα την Ταϊβάν που αναπτύσσει

λογισμικό

πολυμέσων, όπως το PowerDVD,


και τεχνολογία AI αναγνώρισης προσώπου. Σύμφωνα με τα στοιχεία της εταιρείας

δικτυακός τόπος

η CyberLink κατέχει περισσότερες από 200 πατενταρισμένες τεχνολογίες και έχει στείλει περισσότερες από 400 εκατομμύρια εφαρμογές σε όλο τον κόσμο.

Η Microsoft είπε ότι παρατήρησε ύποπτη δραστηριότητα που σχετίζεται με το τροποποιημένο πρόγραμμα εγκατάστασης CyberLink, που παρακολουθείται από την εταιρεία ως “LambLoad”, ήδη από τις 20 Οκτωβρίου

2023

.


Μέχρι στιγμής έχει εντοπίσει το trojanized πρόγραμμα εγκατάστασης σε περισσότερες από 100 συσκευές σε πολλές χώρες, όπως η

Ιαπωνία

, η Ταϊβάν, ο Καναδάς και οι Ηνωμένες Πολιτείες.

Το αρχείο φιλοξενείται σε νόμιμη υποδομή ενημέρωσης που ανήκει στην CyberLink, σύμφωνα με τη Microsoft, και οι εισβολείς χρησιμοποίησαν ένα νόμιμο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε στην CyberLink για να υπογράψουν το κακόβουλο εκτελέσιμο αρχείο, σύμφωνα με τη Microsoft.


«Αυτό το πιστοποιητικό έχει προστεθεί στα πιστοποιητικά της Microsoft

λίστα μη επιτρεπόμενων πιστοποιητικών

για την προστασία των πελατών από μελλοντική κακόβουλη χρήση του πιστοποιητικού», δήλωσε η ομάδα Threat Intelligence της Microsoft.

Η εταιρεία σημείωσε ότι ένα ωφέλιμο φορτίο δεύτερης φάσης που παρατηρήθηκε σε αυτήν την καμπάνια αλληλεπιδρά με υποδομές που προηγουμένως είχαν παραβιαστεί από την ίδια ομάδα παραγόντων απειλής.

Η Microsoft έχει αποδώσει αυτή την επίθεση με «υψηλή εμπιστοσύνη» σε μια ομάδα που παρακολουθεί ως Diamond Sleet, έναν ηθοποιό εθνικού κράτους της Βόρειας Κορέας που συνδέεται με την περιβόητη ομάδα hacking Lazarus. Αυτή η ομάδα έχει παρατηρηθεί να στοχεύει οργανισμούς στην τεχνολογία της πληροφορίας, την άμυνα και τα μέσα ενημέρωσης. Και εστιάζει κυρίως στην κατασκοπεία, το οικονομικό κέρδος και την καταστροφή των εταιρικών δικτύων, σύμφωνα με τη Microsoft.

Η Microsoft είπε ότι δεν έχει ακόμη εντοπίσει την πρακτική δραστηριότητα του πληκτρολογίου, αλλά σημείωσε ότι οι εισβολείς του Diamond Sleet συνήθως κλέβουν δεδομένα από παραβιασμένα συστήματα, διεισδύουν σε περιβάλλοντα κατασκευής λογισμικού, προχωρούν προς τα κάτω για να εκμεταλλευτούν περαιτέρω θύματα και προσπαθούν να αποκτήσουν μόνιμη πρόσβαση στα περιβάλλοντα των θυμάτων.

Η Microsoft είπε ότι ενημέρωσε την CyberLink για τον συμβιβασμό της εφοδιαστικής αλυσίδας, αλλά δεν είπε εάν είχε λάβει απάντηση ή εάν η CyberLink είχε προβεί σε κάποια ενέργεια υπό το φως των ευρημάτων της εταιρείας. Η εταιρεία ειδοποιεί επίσης το

Microsoft Defender

για πελάτες Endpoint που επηρεάστηκαν από την επίθεση.

Η CyberLink δεν απάντησε στις ερωτήσεις του TechCrunch.