Vom nordkoreanischen Staat unterstützte Hacker verbreiten eine bösartige Version einer legitimen Anwendung, die von CyberLink, einem taiwanesischen Softwarehersteller, entwickelt wurde, um nachgelagerte Kunden anzusprechen.
Das Threat Intelligence-Team von Microsoft sagte Am Mittwoch hatten nordkoreanische Hacker CyberLink manipuliert, um im Rahmen eines weitreichenden Lieferkettenangriffs eine modifizierte Installationsdatei des Unternehmens zu verbreiten.
CyberLink ist ein Softwareunternehmen mit Hauptsitz in Taiwan, das Multimedia-Software wie PowerDVD entwickelt. und KI-Gesichtserkennungstechnologie. Nach Angaben des Unternehmens WebseiteCyberLink besitzt über 200 patentierte Technologien und hat weltweit mehr als 400 Millionen Apps ausgeliefert.
Microsoft sagte, es habe bereits am 20. Oktober 2023 verdächtige Aktivitäten im Zusammenhang mit dem modifizierten CyberLink-Installationsprogramm beobachtet, das vom Unternehmen als „LambLoad“ verfolgt wird. Bisher wurde das trojanisierte Installationsprogramm auf mehr als 100 Geräten in mehreren Ländern entdeckt, darunter Japan, Taiwan, Kanada und den Vereinigten Staaten.
Laut Microsoft wird die Datei auf einer legitimen Update-Infrastruktur von CyberLink gehostet, und die Angreifer verwendeten laut Microsoft ein legitimes Code-Signatur-Zertifikat, das an CyberLink ausgestellt wurde, um die schädliche ausführbare Datei zu signieren, so Microsoft. „Dieses Zertifikat wurde dem von Microsoft hinzugefügt Liste der unzulässigen Zertifikate um Kunden vor künftiger böswilliger Nutzung des Zertifikats zu schützen“, sagte das Threat Intelligence-Team von Microsoft.
Das Unternehmen stellte fest, dass eine in dieser Kampagne beobachtete Nutzlast der zweiten Phase mit der Infrastruktur interagiert, die zuvor von derselben Gruppe von Bedrohungsakteuren kompromittiert wurde.
Microsoft hat diesen Angriff mit „hoher Zuversicht“ einer Gruppe zugeschrieben, die es als Diamond Sleet verfolgt, einem nordkoreanischen Nationalstaatsakteur, der mit der berüchtigten Hackergruppe Lazarus verbunden ist. Es wurde beobachtet, dass diese Gruppe Organisationen aus den Bereichen Informationstechnologie, Verteidigung und Medien ins Visier nimmt. Laut Microsoft konzentriert es sich hauptsächlich auf Spionage, finanziellen Gewinn und die Zerstörung von Unternehmensnetzwerken.
Microsoft gab an, noch keine praktische Tastaturaktivität entdeckt zu haben, stellte jedoch fest, dass Diamond Sleet-Angreifer häufig Daten von kompromittierten Systemen stehlen, Software-Build-Umgebungen infiltrieren, weitere Opfer ausnutzen und versuchen, sich dauerhaften Zugriff auf die Umgebungen der Opfer zu verschaffen.
Microsoft sagte, es habe CyberLink über die Kompromittierung der Lieferkette informiert, aber nicht gesagt, ob es eine Antwort erhalten habe oder ob CyberLink angesichts der Erkenntnisse des Unternehmens Maßnahmen ergriffen habe. Das Unternehmen benachrichtigt außerdem Microsoft Defender for Endpoint-Kunden, die von dem Angriff betroffen waren.
CyberLink antwortete nicht auf die Fragen von Tech.