微软威胁情报团队指出，与被修改的 CyberLink 安装程序文件相关的攻击活动最早可追溯至2023年10月20日。该木马化安装程序托管在合法的 CyberLink 更新基础设施上，目前已在全球100多台设备上检测到，它们分布在日本、中国台湾省、加拿大和美国。

微软有较大把握认为这起供应链攻击事件由朝鲜网络间谍组织所为，微软将该组织命名为 “Diamond Sleet”（又被称为 ZINC、Labyrinth Chollima 和 Lazarus）。

第二阶段的 payload 与该组织此前攻陷的基础设施进行交互。微软指出，“Diamond Sleet 利用颁发给 CyberLink 公司的合法代码签名证书签名可执行的恶意文件。该证书已添加至微软的禁用证书清单，防止客户未来遭证书恶意利用攻击。”

微软将木马化软件和相关 payload 称为 “LambLoad”，它是一款恶意软件下载器和加载器。LambLoad 攻击未受Firefox、CrowdStrike 或 Tanium 安全软件保护的系统。如不满足这些条件，则恶意可执行文件在未执行捆绑恶意代码的情况下继续运行。然而，如果满足这些标准，则恶意软件与三个当中的一个 C2 服务器连接，检索使用静态的 User-Agent “Microsoft Internet Explorer”伪装成 PNG 文件而进行隐藏第二阶段 payload。微软指出，“PNG 文件包含虚假 PNG 标头中的嵌入式 payload，该标头在内存中被构造、解密和启动。”

而这是Lazarus 威胁组织常用的攻击方法。该组织会木马化合法密币软件，窃取密币资产。尽管 LambLoad 恶意攻击后，微软尚未检测到实时的攻击活动，但该组织因如下行为而为人所知：

检测到供应链攻击后，微软告知 CyberLink 公司并通知 Microsoft Defender for Endpoint 的受影响客户。另外，微软还将该攻击告知 GitHub，后者根据可接受的用户策略条款删除了第二阶段的 payload。CyberLink 公司成立于1996年，专门从事多媒体播放和软件编辑，已将4000万份应用卖到全球各地。该公司的发言人并未就此事置评。

Lazarus 黑客组织简介

Lazarus 组织被指受朝鲜政府支持，至少从距今十多年的2009年开始就已运行。

该黑客组织攻击遍布全球各地的组织机构，如金融机构、媒体机构以及政府机构。它还攻击安全研究员、在开源密币平台中嵌入恶意代码、大规模窃取密币并利用虚假工作招聘手段传播恶意软件。

Lazarus 组织被指发动多起高级别网络攻击活动，如2014年索尼影业攻击、2017年的WannaCry 勒索软件攻击以及史上最大规模的密币攻击等。

2019年9月，美国政府对由朝鲜政府支持的三个黑客组织 Lazarus、Bluenoroff 和 Andariel 实施制裁，另外向能够提供关于这些组织信息的人员提供最高500万美元的赏金。

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~