Η Microsoft λέει ότι οι Βορειοκορεάτες hackers Lazarus παραβίασαν την ταϊβανέζικη εταιρεία multimedia software, CyberLink, και μόλυναν (trojanized) ένα από τα installers της για να διανείμουν malware, στα πλαίσια μιας supply chain επίθεσης. Στόχος είναι η στόχευση θυμάτων σε όλο τον κόσμο.
Σύμφωνα με τη Microsoft, η κακόβουλη δραστηριότητα που πιστεύεται ότι συνδέεται με το trojanized installer file της CyberLink, εμφανίστηκε στις 20 Οκτωβρίου 2023.
Αυτό το trojanized installer φιλοξενήθηκε σε νόμιμο update infrastructure CyberLink και μέχρι στιγμής έχει εντοπιστεί σε περισσότερες από 100 συσκευές παγκοσμίως, σε χώρες όπως η Ιαπωνία, η Ταϊβάν, ο Καναδάς και οι Ηνωμένες Πολιτείες.
Δείτε επίσης: Οι hackers Lazarus στοχεύουν χρήστες με ψεύτικες συνεντεύξεις μέσω trojanized VNC apps
Η Microsoft πιστεύει ότι αυτή η supply chain επίθεση συνδέεται με τη βορειοκορεατική ομάδα κυβερνοκατασκοπείας Diamond Sleet (γνωστή και ως ZINC, Labyrinth Chollima και Lazarus).
Το payload δεύτερου σταδίου που παρατηρήθηκε κατά τη διερεύνηση αυτής της επίθεσης αλληλεπιδρά με την υποδομή, που οι ίδιοι οι hackers είχαν προηγουμένως παραβιάσει.
“Η Diamond Sleet / Lazarus χρησιμοποίησε ένα νόμιμο code signing certificate που εκδόθηκε στην CyberLink Corp. για να υπογράψει το κακόβουλο εκτελέσιμο αρχείο“, ανέφερε η εταιρεία.
“Αυτό το πιστοποιητικό έχει προστεθεί στη λίστα μη επιτρεπόμενων πιστοποιητικών της Microsoft για την προστασία των πελατών από μελλοντική κακόβουλη χρήση του πιστοποιητικού“.
Οι ερευνητές της Microsoft παρακολουθούν το trojanized software και τα σχετικά payloads ως LambLoad (ένα malware downloader και loader).
Το LambLoad στοχεύει συστήματα που δεν προστατεύονται από λογισμικό ασφαλείας FireEye, CrowdStrike ή Tanium.
Δείτε επίσης: Οι Lazarus και Andariel hackers εκμεταλλεύονται TeamCity bug για παραβιάσεις δικτύων
Αν δεν υπάρχει αυτή η προστασία, το κακόβουλο λογισμικό συνδέεται με έναν από τους τρεις command-and-control (C2) servers για να ανακτήσει ένα payload δεύτερου σταδίου που είναι κρυμμένο μέσα σε ένα αρχείο που παρουσιάζεται ως αρχείο PNG χρησιμοποιώντας το static User-Agent ‘Microsoft Internet Explorer’.
“Το αρχείο PNG περιέχει ένα ενσωματωμένο payload μέσα σε μια ψεύτικη εξωτερική κεφαλίδα PNG που είναι αποκρυπτογραφημένη και έχει εκτελεστεί στη μνήμη“, λέει η Microsoft.
Αυτή είναι μια συνηθισμένη μέθοδος επίθεσης που χρησιμοποιείται από τους Βορειοκορεάτες hackers Lazarus. Αυτοί οι hackers συνηθίζουν να μολύνουν νόμιμο cryptocurrency software για να κλέψουν crypto assets.
Παρόλο που η Microsoft δεν έχει ακόμα εντοπίσει τον πραγματικό σκοπό των επιθέσεων, οι Lazarus hackers είναι γνωστοί για: κλοπή ευαίσθητων δεδομένων από παραβιασμένα συστήματα, διείσδυση σε περιβάλλοντα κατασκευής λογισμικού, εκμετάλλευση περαιτέρω θυμάτων και προσπάθεια για μακροχρόνια πρόσβαση στα περιβάλλοντα των θυμάτων.
Μετά τον εντοπισμό της supply chain επίθεσης, η Microsoft ενημέρωσε τον πάροχο λογισμικού CyberLink και ειδοποίησε πελάτες Microsoft Defender και Endpoint που επηρεάστηκαν από την επίθεση.
Η Microsoft ανέφερε επίσης την επίθεση στο GitHub, το οποίο αφαίρεσε το payload δεύτερου σταδίου.
Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware
Lazarus hackers
Οι Lazarus hackers είναι μια ομάδα που υποστηρίζεται από την κυβέρνηση της Βόρειας Κορέας και δραστηριοποιείται τουλάχιστον από το 2009. Στοχεύει οργανισμούς σε όλο τον κόσμο, κυρίως χρηματοπιστωτικά ιδρύματα, εταιρείες ενημέρωσης και κυβερνητικές υπηρεσίες.
Επίσης, οι hackers έχουν στοχεύσει ερευνητές ασφάλειας και βρίσκονται πίσω από μεγάλες επιθέσεις κλοπής crypto και προώθησης ψεύτικων συνεντεύξεων εργασίας για τη διάδοση κακόβουλου λογισμικού.
Ένα από τα πιο γνωστά και επικίνδυνα περιστατικά που αποδίδονται στους Lazarus hackers είναι η επίθεση WannaCry το 2017. Αυτή η επίθεση έπληξε πολλούς οργανισμούς και επιχειρήσεις σε παγκόσμιο επίπεδο, κρυπτογραφώντας τα αρχεία τους και απαιτώντας λύτρα για την αποκρυπτογράφησή τους.
Ένα άλλο περιστατικό που αξίζει να αναφερθεί είναι η επίθεση στη Sony Pictures το 2014. Οι hackers κατάφεραν να διαρρεύσουν ευαίσθητες πληροφορίες, προκαλώντας σοβαρή ζημιά στην εταιρεία.
Πηγή: www.bleepingcomputer.com
