朝鲜黑客发动供应链攻击,散布木马软件
2023-11-24 16:40:36 Author: hackernews.cc(查看原文) 阅读量:4 收藏

Hackernews 编译,转载请注明出处:

一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客,正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本,通过供应链攻击来瞄准下游客户。

微软威胁情报团队在周三的一份分析报告中表示:“这个恶意文件是一个合法的 CyberLink 应用程序安装程序,已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。”

这家科技巨头表示,病毒文件托管在该公司拥有的更新基础设施上,同时还包括限制执行时间窗口和绕过安全产品检测的检查。

据估计,此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日,就发现了与修改后的 CyberLink 安装文件相关的可疑活动。

与朝鲜的联系源于这样一个事实,即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。

微软进一步表示,他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。

Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合,这是一个来自朝鲜的伞状组织,也被称为“Lazarus集团”。至少从2013年就开始活跃。

“他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力,”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。”

有趣的是,微软表示,在发布代号为 LambLoad 的被篡改的安装程序后,它没有在目标环境中检测到任何操作键盘的活动。

武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件,如果不存在,则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。

微软表示:“PNG 文件包含一个嵌入的有效载荷,在一个假的外部PNG标头中进行切断、解密,并在内存中启动。”在执行时,恶意软件进一步尝试联系合法但受损的域,以检索额外的有效载荷。

此前一天,Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动,这些活动旨在传播恶意软件,作为虚构工作面试的一部分,并在美国和世界其他地区的组织获得未经授权的就业机会。

上个月,微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793),伺机破坏易受攻击的服务器,并部署一个名为 ForestTiger 的后门。

朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增,也促使韩国和英国发布了一份新的咨询报告,警告称此类攻击的复杂性和频率越来越高,敦促各组织采取安全措施,以减少被攻击的可能性。

这些机构表示:“我们观察到,这些行为者利用第三方软件中的零日漏洞,通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”


Hackernews 编译,转载请注明出处

消息来源:TheHackerNews,译者:Serene


文章来源: https://hackernews.cc/archives/47201
如有侵权请联系:admin#unsafe.sh