Hackers violam Cyberlink para ataque à cadeia de suprimentos

Grupo de ameaças norte-coreano violou a empresa de software taiwanesa para impulsionar malware em ataques à cadeia de suprimentos em todo o mundo
Da Redação
27/11/2023

Um grupo de hackers norte-coreanos, rastreado pela Microsoft como Diamond Sleet (Zinc), anteriormente descrito como um subgrupo da gangue Lazarus, vem realizando ataques para roubo de dados, espionagem, destruição e ganho financeiro. A Microsoft descobriu recentemente que o Diamond Sleet teve como alvo a Cyberlink, empresa de software com sede em Taiwan especializada em aplicativos de edição de áudio, vídeo e fotos, para impulsionar malware em ataques à cadeia de suprimentos visando vítimas em potencial em todo o mundo.

Os hackers comprometeram os sistemas da empresa e modificaram um instalador legítimo de aplicativos. Eles adicionaram código malicioso projetado para baixar, descriptografar e carregar carga útil de segundo estágio. A versão maliciosa do instalador foi assinada com um certificado CyberLink válido e hospedada em uma infraestrutura de atualização legítima.

Depois de detectar um ataque à cadeia de suprimentos, a Microsoft informou a CyberLink e também está notificando os clientes do Microsoft Defender for Endpoint que foram afetados pelo ataque. A empresa também relatou o ataque ao GitHub, que removeu a carga de segundo estágio de acordo com suas políticas de uso aceitável.

A Microsoft começou a verificar atividades relacionadas ao instalador malicioso em 20 de outubro, com o arquivo atingindo mais de 100 dispositivos no Japão, Taiwan, Canadá e Estados Unidos. A empresa rastreia o malware como LambLoad. A ameaça é projetada para verificar o host comprometido quanto à presença de software de segurança da CrowdStrike, FireEye e Tanium antes de executar código malicioso — apenas o aplicativo legítimo CyberLink é executado se esses produtos de segurança forem detectados.

A gigante da tecnologia não verificou nenhuma atividade prática no teclado como parte da campanha, mas observou que o operador da ameaça é conhecido por roubar dados confidenciais das vítimas, comprometer ambientes de construção de software, mover-se a jusante para outras vítimas e estabelecer acesso persistente. A Microsoft disponibilizou indicadores de comprometimento (IoCs) para ajudar os defensores a detectar a atividade do Diamond Sleet em sua rede.

Para ter acesso ao relatório completo da Microsoft, em inglês, clique aqui.

Veja isso
Malware do grupo Lazarus tem como alvo software legítimo
Grupo Lazarus mira macOS em ataque à cadeia de suprimentos

Quem é o Lazarus Group?

O Lazarus Group é um grupo de hackers patrocinado pela Coreia do Norte que opera há mais de dez anos, desde ao menos 2009. Conhecido por atacar organizações em todo o mundo, as operações do Lazarus incluíram até agora ataques a instituições financeiras, meios de comunicação e agências governamentais.

Suas campanhas também envolveram ataques pesquisadores de segurança, testadores de penetração e funcionários de empresas de segurança cibernética e tecnologia; a incorporação de código malicioso em plataformas de criptomoedas de código aberto; a execução de assaltos massivos de criptomoedas e o uso de entrevistas de emprego falsas para disseminar malware.

Acredita-se que o grupo esteja por trás de muitos ataques cibernéticos de alto perfil, incluindo o hack da Sony Pictures de 2014, o ataque de ransomware WannaCry de 2017 e o maior hack de criptografia de todos os tempos em 2022.

Em setembro de 2019, o governo dos EUA impôs sanções a três grupos de hackers patrocinados pela Coreia do Norte (Lazarus, Bluenoroff e Andariel) e agora oferece uma recompensa de até US$ 5 milhões por qualquer informação sobre a atividade de hackers norte-coreanos.

Compartilhar:

Últimas Notícias