No dia 22, a equipe de Threat Intelligence da Microsoft revelou que hackers apoiados pelo Estado norte-coreano estão distribuindo uma versão maliciosa de um aplicativo legítimo desenvolvido pela CyberLink, uma fabricante de software de Taiwan, visando clientes downstream.
Os hackers norte-coreanos comprometeram a CyberLink como parte de um ataque amplo à cadeia de suprimentos, distribuindo um arquivo de instalação modificado da empresa. A CyberLink, com sede em Taiwan, é uma empresa de software conhecida por desenvolver aplicativos multimídia, incluindo o PowerDVD, e tecnologia de reconhecimento facial AI. A Microsoft identificou atividades suspeitas relacionadas ao instalador modificado, denominado “LambLoad”, a partir de 20 de outubro de 2023. Até o momento, o instalador trojanizado foi detectado em mais de 100 dispositivos em vários países, incluindo Japão, Taiwan, Canadá e Estados Unidos.
A Microsoft observou que o arquivo malicioso está hospedado em uma infraestrutura de atualização legítima de propriedade da CyberLink. Os invasores utilizaram um certificado de assinatura de código legítimo emitido para a CyberLink para assinar o executável malicioso. Para proteger os clientes de futuros usos maliciosos do certificado, a Microsoft adicionou esse certificado à lista de certificados não permitidos.
O ataque, atribuído com “alta confiança” ao grupo Diamond Sleet, um ator estatal norte-coreano vinculado ao grupo de hackers Lazarus, tem como alvo organizações de tecnologia da informação, defesa e mídia. O Diamond Sleet, conhecido por espionagem, ganho financeiro e destruição de redes corporativas, ainda não demonstrou atividade prática no teclado, mas a Microsoft alerta que o grupo geralmente rouba dados, infiltra ambientes de construção de software, avança downstream para explorar outras vítimas e busca acesso persistente.
A Microsoft notificou a CyberLink sobre o comprometimento da cadeia de suprimentos e está informando os clientes do Microsoft Defender for Endpoint afetados pelo ataque. O comunicado não detalhou se a CyberLink respondeu ou tomou medidas em resposta às descobertas da Microsoft.