Grupo de ameaças norte-coreano violou a empresa de software taiwanesa para impulsionar malware em ataques à cadeia de suprimentos em todo o mundo
Um grupo de hackers norte-coreanos, rastreado pela Microsoft como Diamond Sleet (Zinc), anteriormente descrito como um subgrupo da gangue Lazarus, vem realizando ataques para roubo de dados, espionagem, destruição e ganho financeiro. A Microsoft descobriu recentemente que o Diamond Sleet teve como alvo a Cyberlink, empresa de software com sede em Taiwan especializada em aplicativos de edição de áudio, vídeo e fotos, para impulsionar malware em ataques à cadeia de suprimentos visando vítimas em potencial em todo o mundo.
Os hackers comprometeram os sistemas da empresa e modificaram um instalador legítimo de aplicativos. Eles adicionaram código malicioso projetado para baixar, descriptografar e carregar carga útil de segundo estágio. A versão maliciosa do instalador foi assinada com um certificado CyberLink válido e hospedada em uma infraestrutura de atualização legítima.
Depois de detectar um ataque à cadeia de suprimentos, a Microsoft informou a CyberLink e também está notificando os clientes do Microsoft Defender for Endpoint que foram afetados pelo ataque. A empresa também relatou o ataque ao GitHub, que removeu a carga de segundo estágio de acordo com suas políticas de uso aceitável.
A Microsoft começou a verificar atividades relacionadas ao instalador malicioso em 20 de outubro, com o arquivo atingindo mais de 100 dispositivos no Japão, Taiwan, Canadá e Estados Unidos. A empresa rastreia o malware como LambLoad. A ameaça é projetada para verificar o host comprometido quanto à presença de software de segurança da CrowdStrike, FireEye e Tanium antes de executar código malicioso — apenas o aplicativo legítimo CyberLink é executado se esses produtos de segurança forem detectados.
A gigante da tecnologia não verificou nenhuma atividade prática no teclado como parte da campanha, mas observou que o operador da ameaça é conhecido por roubar dados confidenciais das vítimas, comprometer ambientes de construção de software, mover-se a jusante para outras vítimas e estabelecer acesso persistente. A Microsoft disponibilizou indicadores de comprometimento (IoCs) para ajudar os defensores a detectar a atividade do Diamond Sleet em sua rede.
Para ter acesso ao relatório completo da Microsoft, em inglês, clique aqui.
Quem é o Lazarus Group?
O Lazarus Group é um grupo de hackers patrocinado pela Coreia do Norte que opera há mais de dez anos, desde ao menos 2009. Conhecido por atacar organizações em todo o mundo, as operações do Lazarus incluíram até agora ataques a instituições financeiras, meios de comunicação e agências governamentais.
Suas campanhas também envolveram ataques pesquisadores de segurança, testadores de penetração e funcionários de empresas de segurança cibernética e tecnologia; a incorporação de código malicioso em plataformas de criptomoedas de código aberto; a execução de assaltos massivos de criptomoedas e o uso de entrevistas de emprego falsas para disseminar malware.
Acredita-se que o grupo esteja por trás de muitos ataques cibernéticos de alto perfil, incluindo o hack da Sony Pictures de 2014, o ataque de ransomware WannaCry de 2017 e o maior hack de criptografia de todos os tempos em 2022.
Em setembro de 2019, o governo dos EUA impôs sanções a três grupos de hackers patrocinados pela Coreia do Norte (Lazarus, Bluenoroff e Andariel) e agora oferece uma recompensa de até US$ 5 milhões por qualquer informação sobre a atividade de hackers norte-coreanos.
Fonte:
https://www.cisoadvisor.com.br/hackers-violam-cyberlink-para-ataquea-cadeia-de-suprimentos/