Lazarus: hacker colpiscono catena di fornitura di CyberLink

Il gruppo di hacker nordcoreano conosciuto come Lazarus ha violato la società di software multimediale taiwanese CyberLink. I cybercriminali hanno infatti hackerato uno dei programmi di installazione di CyberLink per inserire malware in un attacco alla catena di fornitura che prende di mira potenziali vittime in tutto il mondo. Come rivelato da Microsoft Threat Intelligence, l’attività legata all’installer di CyberLink manomesso è emersa già il 20 ottobre 2023. Questo file contenente il trojan era ospitato su un'infrastruttura di aggiornamento legittima di proprietà di CyberLink. Ad oggi il malware è stato rilevato su più di 100 dispositivi in ​​tutto il mondo, inclusi Giappone, Taiwan, Canada e Stati Uniti.

Lazarus: come funziona l’attacco alla catena di fornitura CyberLink

Microsoft non ha avuto dubbi nell’individuare come autore di questo attacco alla catena di fornitura di CyberLink il gruppo di spionaggio informatico nordcoreano noto come Diamond Sleet (conosciuto anche come ZINC, Labyrinth Chollima e, naturalmente, Lazarus). Il payload di seconda fase osservato durante lo studio di questo attacco interagisce con l’infrastruttura che gli stessi cybercriminali avevano precedentemente compromesso. Come affermato da Microsoft in un post sul proprio blog, “Diamond Sleet ha utilizzato un certificato di firma del codice legittimo rilasciato a CyberLink Corp. per firmare l'eseguibile dannoso”. Per evitare altri problemi futuri e proteggere altri clienti, l’azienda di Redmond ha dichiarato che questo certificato è stato aggiunto all'elenco dei certificati non consentiti di Microsoft.

Microsoft ha tracciato il software infetto da trojan e i relativi payload come LambLoad, un downloader e caricatore di malware. LambLoad prende di mira i sistemi non protetti da software di sicurezza come FireEye, CrowdStrike o Tanium. Se queste condizioni non vengono soddisfatte, l'installer dannoso continua a funzionare senza eseguire il codice dannoso in bundle. In caso contrario, il malware si connette con uno dei tre server di comando e controllo (C2). In questo modo è in grado di recuperare un payload di seconda fase nascosto all'interno di un file che si presenta come PNG. Questo è un metodo di attacco comune utilizzato da Lazarus. Dopo aver rilevato l’attacco alla catena di fornitura, Microsoft ha informato CyberLink e i clienti Microsoft Defender for Endpoint colpiti. Infine, Microsoft ha anche segnalato l'attacco a GitHub, che ha rimosso il payload di seconda fase, come previsto dalle sue politiche di utilizzo accettabile (AUP).