Diamond Sleet ellátási lánc támadás

Editors' Pick

A Microsoft Threat Intelligence felfedezett egy, az észak-koreai Diamond Sleet (ZINC, Labyrinth Chollima és Lazarus) nevű fenyegető szereplő által elkövetett ellátási láncot érintő támadást, amely a CyberLink Corp. multimédiás szoftvertermékeket fejlesztő szoftvercég által kifejlesztett alkalmazás rosszindulatú változatát érintette. Ez a rosszindulatú fájl egy legitim CyberLink-alkalmazás telepítője, amelyet úgy módosítottak, hogy rosszindulatú kódot tartalmazzon, amely letölti, visszafejti és betölti a második fázisú hasznos terhet. A CyberLink Corp. számára kiállított érvényes tanúsítvánnyal aláírt fájl a CyberLink tulajdonában lévő legitim frissítési infrastruktúrán van elhelyezve, és olyan ellenőrzéseket tartalmaz, amelyek korlátozzák a végrehajtás időablakát és kikerülik a biztonsági termékek általi észlelést. A rosszindulatú tevékenység eddig több mint 100 eszközt érintett több országban, köztük Japánban, Tajvanon, Kanadában és az Egyesült Államokban.

A Microsoft ezt a tevékenységet nagy valószínűséggel a Diamond Sleet, egy észak-koreai fenyegető szereplőnek tulajdonítja. A kampányban megfigyelt második fázisú hasznos teher olyan infrastruktúrával kommunikál, amelyet korábban a Diamond Sleet már megtámadott. A közelmúltban a Microsoft megfigyelte, hogy a Diamond Sleet trójaiakkal fertőzött nyílt forráskódú és szabadalmaztatott szoftvereket használ az informatikai, védelmi és médiaszervezetek ellen.

A Microsoft kutatói megosztották az azonosításhoz szükséges mutatókat.

FORRÁS