Microsoft ha rivelato che l’apt nordcoreano Lazarus ha violato la società taiwanese di software multimediale CyberLink, inserendo un trojan in uno dei suoi installer per diffondere malware in un attacco alla catena di fornitura a livello globale.
Dettagli dell’attacco
L’attività sospetta legata all’installer alterato di CyberLink è emersa per la prima volta il 20 ottobre 2023. Questo installer trojanizzato è stato rilevato su oltre 100 dispositivi in varie nazioni, tra cui Giappone, Taiwan, Canada e Stati Uniti. Gli esperti di sicurezza di Microsoft hanno attribuito con alta fiducia questo attacco alla catena di fornitura al gruppo Diamond Sleet, noto anche come ZINC, Labyrinth Chollima e Lazarus.
Metodologia e obiettivi
Il payload di seconda fase osservato durante l’indagine interagisce con infrastrutture precedentemente compromesse dallo stesso gruppo di attori della minaccia. Diamond Sleet ha utilizzato un certificato di firma del codice legittimo emesso a CyberLink Corp. per firmare l’eseguibile maligno. Microsoft ha aggiunto questo certificato alla sua lista di certificati non consentiti per proteggere i clienti da un ulteriore uso malevolo del certificato.
Malware LambLoad e Difese Evasive
Il software trojanizzato e i payload correlati sono tracciati da Microsoft come LambLoad, un downloader e caricatore di malware. LambLoad prende di mira i sistemi non protetti da software di sicurezza FireEye, CrowdStrike o Tanium. Se queste condizioni non sono soddisfatte, l’eseguibile maligno continua a funzionare senza eseguire il codice malevolo incluso. Tuttavia, se i criteri sono soddisfatti, il malware si connette a uno dei tre server di comando e controllo per recuperare un payload di seconda fase nascosto all’interno di un file che si finge un file PNG.
Risposta di Microsoft e impatto
Dopo aver rilevato l’attacco alla catena di fornitura, Microsoft ha informato CyberLink e sta anche notificando ai clienti di Microsoft Defender for Endpoint che sono stati colpiti dall’attacco di Lazarus. Microsoft ha inoltre segnalato l’attacco a GitHub, che ha rimosso il payload di seconda fase in conformità con le sue Politiche di Utilizzo Accettabile.
Questo attacco evidenzia la continua minaccia rappresentata da gruppi come Lazarus, noti per trojanizzare software legittimi, in particolare nel settore delle criptovalute, per rubare asset crittografici e dati sensibili.