Kuzey Kore devlet destekli bilgisayar korsanları, Tayvanlı bir yazılım üreticisi olan CyberLink tarafından geliştirilen meşru bir uygulamanın kötü amaçlı bir sürümünü alt müşterileri hedeflemek için dağıtıyor.
Microsoft’un Tehdit İstihbaratı ekibi söz konusu Çarşamba günü Kuzey Koreli bilgisayar korsanları, geniş kapsamlı bir tedarik zinciri saldırısının parçası olarak şirketten değiştirilmiş bir yükleyici dosyasını dağıtmak için CyberLink’in güvenliğini tehlikeye attı.
CyberLink, merkezi Tayvan’da bulunan ve PowerDVD gibi multimedya yazılımları geliştiren bir yazılım şirketidir. ve AI yüz tanıma teknolojisi. Şirketin açıklamasına göre İnternet sitesiCyberLink, 200’den fazla patentli teknolojiye sahiptir ve dünya çapında 400 milyondan fazla uygulama göndermiştir.
Microsoft, 20 Ekim 2023 gibi erken bir tarihte şirket tarafından “LambLoad” olarak takip edilen değiştirilmiş CyberLink yükleyicisiyle ilgili şüpheli etkinlik gözlemlediğini söyledi. Şimdiye kadar Japonya, Tayvan, Kanada ve Amerika Birleşik Devletleri de dahil olmak üzere birçok ülkede 100’den fazla cihazda truva atı bulaştırılmış yükleyiciyi tespit etti.
Microsoft’a göre dosya, CyberLink’e ait meşru güncelleme altyapısında barındırılıyor ve Microsoft’a göre saldırganlar, kötü amaçlı yürütülebilir dosyayı imzalamak için CyberLink’e verilen meşru bir kod imzalama sertifikası kullandı. “Bu sertifika Microsoft’un izin verilmeyen sertifika listesi Microsoft’un Tehdit İstihbaratı ekibi, “Müşterileri sertifikanın gelecekteki kötü amaçlı kullanımlarından korumak için” dedi.
Şirket, bu kampanyada gözlemlenen ikinci aşama bir veri yükünün, daha önce aynı grup tehdit aktörü tarafından tehlikeye atılan altyapıyla etkileşime girdiğini kaydetti.
Microsoft, bu saldırıyı “yüksek güvenle”, kötü şöhretli Lazarus hack grubuyla bağlantısı olan Kuzey Koreli bir ulus devlet aktörü olan Diamond Sleet olarak takip ettiği bir gruba bağladı. Bu grubun bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef aldığı gözlemlendi. Ve Microsoft’a göre ağırlıklı olarak casusluk, mali kazanç ve kurumsal ağ imhasına odaklanıyor.
Microsoft, henüz uygulamalı klavye etkinliğini tespit etmediğini söyledi ancak Diamond Sleet saldırganlarının genellikle güvenliği ihlal edilmiş sistemlerden veri çaldığını, yazılım oluşturma ortamlarına sızdığını, daha fazla kurbandan yararlanmak için aşağı yönde ilerlediğini ve kurbanların ortamlarına kalıcı erişim sağlamaya çalıştığını belirtti.
Microsoft, tedarik zincirindeki uzlaşmayı CyberLink’e bildirdiğini söyledi ancak bir yanıt alıp almadığını veya CyberLink’in şirketin bulguları ışığında herhangi bir eylemde bulunup bulunmadığını söylemedi. Şirket ayrıca saldırıdan etkilenen Uç Nokta müşterileri için Microsoft Defender’ı da bilgilendiriyor.
CyberLink, TechCrunch’ın sorularına yanıt vermedi.