Un acteur menaçant parrainé par l’État nord-coréen est identifié comme étant Grésil de diamant distribue une version trojanisée d’une application légitime développée par un développeur de logiciels multimédia taïwanais appelé CyberLink pour cibler les clients en aval via une attaque sur la chaîne d’approvisionnement.
« Ce fichier malveillant est un programme d’installation d’application CyberLink légitime qui a été modifié pour inclure un code malveillant qui télécharge, déchiffre et charge une charge utile de deuxième étape », a déclaré l’équipe Microsoft Threat Intelligence. dit dans une analyse mercredi.
Le fichier empoisonné, a déclaré le géant de la technologie, est hébergé sur l’infrastructure mise à jour appartenant à l’entreprise tout en incluant également des contrôles pour limiter la fenêtre de temps d’exécution et contourner la détection par les produits de sécurité.
On estime que la campagne a touché plus de 100 appareils au Japon, à Taiwan, au Canada et aux États-Unis. Une activité suspecte associée au fichier d’installation CyberLink modifié a été observée dès le 20 octobre 2023.
Les liens avec la Corée du Nord proviennent du fait que la charge utile de deuxième étape établit des connexions avec des serveurs de commande et de contrôle (C2) précédemment compromis par l’acteur menaçant.
Microsoft a en outre déclaré avoir observé des attaquants utilisant des chevaux de Troie open source et des logiciels propriétaires pour cibler des organisations des secteurs des technologies de l’information, de la défense et des médias.
Diamond Sleet, qui s’accorde avec les clusters baptisés TEMP.Hermit et Labyrinth Chollima, est le surnom attribué à un groupe parapluie originaire de Corée du Nord également appelé Lazarus Group. On sait qu’il est actif depuis au moins 2013.
« Leurs opérations depuis lors sont représentatives des efforts de Pyongyang pour collecter des renseignements stratégiques au profit des intérêts nord-coréens », a noté Mandiant, propriété de Google, le mois dernier. « Cet acteur cible les gouvernements, la défense, les télécommunications et les institutions financières du monde entier. »
Il est intéressant de noter que Microsoft a déclaré n’avoir détecté aucune activité manuelle sur le clavier sur les environnements cibles suite à la distribution du programme d’installation falsifié, nommé LambLoad.
Le téléchargeur et le chargeur armés inspectent le système cible pour détecter la présence de logiciels de sécurité de CrowdStrike, FireEye et Tanium, et s’ils ne sont pas présents, récupèrent une autre charge utile à partir d’un serveur distant qui se fait passer pour un fichier PNG.
« Le fichier PNG contient une charge utile intégrée dans un faux en-tête PNG externe qui est sculpté, déchiffré et lancé en mémoire », a déclaré Microsoft. Lors de son exécution, le logiciel malveillant tente en outre de contacter un domaine légitime mais compromis pour récupérer des charges utiles supplémentaires.
Ces révélations surviennent un jour après que l’unité 42 de Palo Alto Networks a révélé deux campagnes conçues par des acteurs nord-coréens pour distribuer des logiciels malveillants dans le cadre d’entretiens d’embauche fictifs et obtenir un emploi non autorisé auprès d’organisations basées aux États-Unis et dans d’autres parties du monde.
Le mois dernier, Microsoft a également impliqué Diamond Sleet dans l’exploitation d’une faille de sécurité critique dans JetBrains TeamCity (CVE-2023-42793, score CVSS : 9,8) pour pirater de manière opportuniste des serveurs vulnérables et déployer une porte dérobée connue sous le nom de ForestTiger.