Microsoft, bir Kuzey Koreli hack grubunun Tayvanlı multimedya yazılım şirketi Cyberlink'i ihlal ettiğini ve dünya çapında potansiyel kurbanları hedefleyen bir tedarik zinciri saldırısında kötü amaçlı yazılımları zorlamak için yükleyicilerinden birini troşalize ettiğini söyledi.
Microsoft Tehdit İstihbaratı'na göre, değiştirilmiş CyberLink yükleyici dosyasıyla bağlantılı olduğundan şüphelenilen etkinlik, 20 Ekim 2023 gibi erken bir tarihte ortaya çıktı.
Bu truva atıtı, meşru CyberLink güncelleme altyapısında barındırıldı ve şimdiye kadar Japonya, Tayvan, Kanada ve Amerika Birleşik Devletleri de dahil olmak üzere dünya çapında 100'den fazla cihazda tespit edildi.
Microsoft, bu tedarik zinciri saldırısını Redmond tarafından elmas sleet (aka çinko, labirent chollima ve lazarus) olarak izleyen Kuzey Kore siberlik grubuna yüksek güvenle bağladı.
Bu saldırıyı araştırırken gözlemlenen ikinci aşama yük, aynı tehdit aktörlerinin daha önce tehlikeye attığı altyapı ile etkileşime girer.
Şirket, "Diamond Sleet, kötü amaçlı yürütülebilir dosyayı imzalamak için Cyberlink Corp.'a verilen meşru bir kod imzalama sertifikası kullandı." Dedi.
"Bu sertifika, müşterileri sertifikanın gelecekteki kötü niyetli kullanımından korumak için Microsoft'un izin verilmeyen sertifika listesine eklendi."
Microsoft, bir kötü amaçlı yazılım indirici ve yükleyici olan Lambload olarak truva atma yazılımı ve ilgili yükleri izler.
Lambload, FireEye, Crowdstrike veya Tanyum Güvenlik Yazılımı tarafından korunmayan sistemleri hedefler. Bu koşullar karşılanmamışsa, kötü amaçlı yürütülebilir ürün, paketlenmiş kötü amaçlı kodu yürütmeden çalışmaya devam eder.
Ancak, kriterler karşılanırsa, kötü amaçlı yazılım, statik kullanıcı-ajanı 'Microsoft Internet Explorer olarak bir PNG dosyası olarak poz veren bir dosya içinde gizlenmiş ikinci aşamalı bir yükü almak için üç komut ve kontrol (C2) sunucusundan birine bağlanır. . '
Microsoft, "PNG dosyası, sahte bir dış PNG başlığının içinde gömülü bir yük içerir, bu da oyulmuş, şifre çözülmüş ve bellekte başlatılmıştır."
Bu, kripto varlıklarını çalmak için meşru kripto para birimi yazılımını troşalize ettiği bilinen Lazarus Kuzey Koreli tehdit aktörleri tarafından kullanılan yaygın bir saldırı yöntemidir.
Microsoft, lambload kötü amaçlı yazılım ihlallerini takiben henüz uygulamalı klavye etkinliğini tespit etmemiş olsa da, Lazarus bilgisayar korsanları şunlar için bilinmektedir:
Bir tedarik zinciri saldırısı tespit ettikten sonra Microsoft, CyberLink'i bilgilendirdi ve ayrıca saldırıdan etkilenen uç nokta müşterileri için Microsoft Defender'ı bilgilendiriyor.
Microsoft ayrıca, ikinci aşama yükü kabul edilebilir kullanım politikalarına göre kaldıran GitHub'a yapılan saldırıyı da bildirdi.
1996'dan beri multimedya çalma ve düzenleme yazılımı yapan CyberLink, dünya çapında uygulamalarının 400 milyon kopyasını gönderdiğini söylüyor.
Bir CyberLink sözcüsü, BleepingComputer'ın yorum talebine hemen yanıt vermedi.
Lazarus Grubu, en az 2009'dan beri on yıldan fazla bir süredir faaliyet gösteren Kuzey Koreli destekli bir hack grubudur.
Dünya çapında kuruluşları hedeflemek için bilinen Lazarus'un operasyonları şimdiye kadar finansal kurumlara, medya kuruluşlarına ve devlet kurumlarına yönelik saldırıları içeriyordu.
Kampanyaları ayrıca güvenlik araştırmacılarını hedeflemeyi, açık kaynaklı kripto para birimi platformlarına kötü amaçlı kodların yerleştirilmesini, büyük kripto para birimi soygunu yürütmeyi ve kötü amaçlı yazılımları yaymak için sahte iş görüşmelerini kullanmayı da içeriyordu.
Grubun, 2014 Sony Pictures Hack, 2017 WannaCry Fidye Yazılımı Saldırısı ve 2022'de şimdiye kadarki en büyük kripto hack dahil olmak üzere birçok yüksek profilli siber saldırının arkasında olduğu düşünülmektedir.
Eylül 2019'da ABD hükümeti, Kuzey Kore'nin (Lazarus, Bluenoroff ve Andariel) sponsor olduğu üç hack grubuna yaptırım uyguladı ve şimdi Kuzey Koreli hackerların faaliyeti hakkında herhangi bir bilgi için 5 milyon dolara kadar bir ödül sunuyor.
İngiltere ve Güney Kore: Bilgisayar korsanları tedarik zinciri saldırısında sıfır gün kullanıyor
Lazarus Hackers, Signbt kötü amaçlı yazılımını dağıtmak için Dev'i tekrar tekrar ihlal etti
Bluenoroff Hackers Backdoor Macs ile Yeni Objcshellz kötü amaçlı yazılım
Yeni MacOS 'Kandykorn' Kötü Yazılım Hedefleri Kripto para birimi mühendisleri
Kuzey Koreli hackerlar, ağları ihlal etmek için kritik TeamCity kusurundan yararlanıyor
Kaynak: Bleeping Computer