Un actor de amenazas patrocinado por el estado de Corea del Norte rastreado como Aguanieve de diamantes está distribuyendo una versión troyanizada de una aplicación legítima desarrollada por un desarrollador de software multimedia taiwanés llamado CyberLink para atacar a clientes intermedios mediante un ataque a la cadena de suministro.
«Este archivo malicioso es un instalador legítimo de la aplicación CyberLink que ha sido modificado para incluir código malicioso que descarga, descifra y carga una carga útil de segunda etapa», dijo el equipo de Microsoft Threat Intelligence. dicho en un análisis el miércoles.
El archivo envenenado, dijo el gigante tecnológico, está alojado en la infraestructura actualizada propiedad de la compañía y al mismo tiempo incluye controles para limitar el tiempo de ejecución y evitar la detección por parte de los productos de seguridad.
Se estima que la campaña afectó a más de 100 dispositivos en Japón, Taiwán, Canadá y EE. UU. Ya el 20 de octubre de 2023 se observó actividad sospechosa asociada con el archivo de instalación de CyberLink modificado.
Los vínculos con Corea del Norte se derivan del hecho de que la carga útil de la segunda etapa establece conexiones con servidores de comando y control (C2) previamente comprometidos por el actor de amenazas.
Microsoft dijo además que ha observado que los atacantes utilizan software patentado y de código abierto troyanizado para atacar a organizaciones en los sectores de tecnología de la información, defensa y medios.
Diamond Sleet, que encaja con los grupos denominados TEMP.Hermit y Labyrinth Chollima, es el apodo asignado a un grupo paraguas originario de Corea del Norte que también se llama Lazarus Group. Se sabe que está activo desde al menos 2013.
«Sus operaciones desde entonces son representativas de los esfuerzos de Pyongyang para recopilar inteligencia estratégica en beneficio de los intereses norcoreanos», señaló el mes pasado Mandiant, propiedad de Google. «Este actor apunta a instituciones gubernamentales, de defensa, de telecomunicaciones y financieras de todo el mundo».
Curiosamente, Microsoft dijo que no detectó ninguna actividad manual en el teclado en los entornos de destino después de la distribución del instalador manipulado, cuyo nombre en código LambLoad.
El descargador y el cargador armados inspeccionan el sistema de destino en busca de la presencia de software de seguridad de CrowdStrike, FireEye y Tanium y, si no está presente, recuperan otra carga útil de un servidor remoto que se hace pasar por un archivo PNG.
«El archivo PNG contiene una carga útil incrustada dentro de un encabezado PNG externo falso que está tallado, descifrado y lanzado en la memoria», dijo Microsoft. Tras la ejecución, el malware intenta contactar con un dominio legítimo pero comprometido para recuperar cargas útiles adicionales.
Las revelaciones se producen un día después de que la Unidad 42 de Palo Alto Networks revelara campañas gemelas diseñadas por actores de amenazas norcoreanos para distribuir malware como parte de entrevistas de trabajo ficticias y obtener empleos no autorizados en organizaciones con sede en EE. UU. y otras partes del mundo.
El mes pasado, Microsoft también implicó a Diamond Sleet en la explotación de una falla de seguridad crítica en JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8) para violar de manera oportunista servidores vulnerables e implementar una puerta trasera conocida como ForestTiger.