Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Lazarus: hacker colpiscono catena di fornitura di CyberLink

Microsoft ha rilevato un attacco hacker alla catena di fornitura di CyberLink, attribuendolo ai cybercriminali nordcoreani di Lazarus.
Lazarus: hacker colpiscono catena di fornitura di CyberLink
Microsoft ha rilevato un attacco hacker alla catena di fornitura di CyberLink, attribuendolo ai cybercriminali nordcoreani di Lazarus.
Link copiato negli appunti

Il gruppo di hacker nordcoreano conosciuto come Lazarus ha violato la società di software multimediale taiwanese CyberLink. I cybercriminali hanno infatti hackerato uno dei programmi di installazione di CyberLink per inserire malware in un attacco alla catena di fornitura che prende di mira potenziali vittime in tutto il mondo. Come rivelato da Microsoft Threat Intelligence, l’attività legata all’installer di CyberLink manomesso è emersa già il 20 ottobre 2023. Questo file contenente il trojan era ospitato su un'infrastruttura di aggiornamento legittima di proprietà di CyberLink. Ad oggi il malware è stato rilevato su più di 100 dispositivi in ​​tutto il mondo, inclusi Giappone, Taiwan, Canada e Stati Uniti.

Microsoft non ha avuto dubbi nell’individuare come autore di questo attacco alla catena di fornitura di CyberLink il gruppo di spionaggio informatico nordcoreano noto come Diamond Sleet (conosciuto anche come ZINC, Labyrinth Chollima e, naturalmente, Lazarus). Il payload di seconda fase osservato durante lo studio di questo attacco interagisce con l’infrastruttura che gli stessi cybercriminali avevano precedentemente compromesso. Come affermato da Microsoft in un post sul proprio blog, “Diamond Sleet ha utilizzato un certificato di firma del codice legittimo rilasciato a CyberLink Corp. per firmare l'eseguibile dannoso”. Per evitare altri problemi futuri e proteggere altri clienti, l’azienda di Redmond ha dichiarato che questo certificato è stato aggiunto all'elenco dei certificati non consentiti di Microsoft.

Microsoft ha tracciato il software infetto da trojan e i relativi payload come LambLoad, un downloader e caricatore di malware. LambLoad prende di mira i sistemi non protetti da software di sicurezza come FireEye, CrowdStrike o Tanium. Se queste condizioni non vengono soddisfatte, l'installer dannoso continua a funzionare senza eseguire il codice dannoso in bundle. In caso contrario, il malware si connette con uno dei tre server di comando e controllo (C2). In questo modo è in grado di recuperare un payload di seconda fase nascosto all'interno di un file che si presenta come PNG. Questo è un metodo di attacco comune utilizzato da Lazarus. Dopo aver rilevato l’attacco alla catena di fornitura, Microsoft ha informato CyberLink e i clienti Microsoft Defender for Endpoint colpiti. Infine, Microsoft ha anche segnalato l'attacco a GitHub, che ha rimosso il payload di seconda fase, come previsto dalle sue politiche di utilizzo accettabile (AUP).

Ti consigliamo anche