I criminali sono riusciti a certificare un payload compromesso facendolo passare per buono
Gli hacker sostenuti dallo stato nordcoreano stanno distribuendo una versione dannosa di un’applicazione legittima sviluppata da CyberLink, un produttore di software taiwanese, per prendere di mira i clienti. Il team di Threat Intelligence di Microsoft ha dichiarato che gli hacker hanno compromesso il produttore per distribuire un file di installazione modificato dall’azienda come parte di un attacco ad ampio raggio alla supply chain. CyberLink è una società di software con sede a Taiwan che sviluppa software multimediale, come PowerDVD, e tecnologia di riconoscimento facciale AI. Secondo il sito Web dell’azienda, CyberLink possiede oltre 200 tecnologie brevettate e ha distribuito più di 400 milioni di app in tutto il mondo. Microsoft ha dichiarato di aver osservato attività sospette associate al programma di installazione CyberLink modificato, tracciato dalla società come “LambLoad”, già dal 20 ottobre 2023.
Finora, il programma di installazione affetto da trojan è stato individuato su oltre 100 categorie di dispositivi in più paesi, incluso il Giappone, Taiwan, Canada e Stati Uniti. Secondo Microsoft, il file è ospitato su un’infrastruttura di aggiornamento legittima di proprietà di CyberLink, e gli aggressori hanno utilizzato un certificato di firma legittimo per validare l’eseguibile. “Questo certificato è stato aggiunto all’elenco di quelli non consentiti da Microsoft così da proteggere i clienti da futuri usi dannosi del certificato”, ha affermato il team di Threat Intelligence di Redmond. Microsoft ha attribuito questo attacco al gruppo che identifica come Diamond Sleet, un attore statale nordcoreano legato al famigerato team di hacker Lazarus. È risaputo che l’organizzazione prende di mira telco, aziende della difesa e dei media. E secondo Microsoft si concentra prevalentemente sullo spionaggio, sul guadagno finanziario e sulla distruzione della rete aziendale. Microsoft ha notato che gli aggressori di Diamond Sleet rubano comunemente dati da sistemi compromessi, si infiltrano negli ambienti di creazione di software, avanzano a valle per sfruttare ulteriori vittime e tentano di ottenere un accesso permanente agli ambienti delle vittime. Microsoft ha affermato di aver notificato a CyberLink la compromissione della catena di fornitura, informando i clienti Microsoft Defender for Endpoint colpiti dall’attacco.
