Севернокорејската хакерска група позната под името „Lazarus“ успеала да ја заобиколи заштитата на тајванската софтверска компанија CyberLink. Хакерите успеале да тројанизираат еден инсталационен софтвер и да го користат за да ги напаѓаат жртвите од целиот свет. Софтверот напаѓачите го користеле за „supply chain attack“ врз клиентите на CyberLink. CyberLink креира софтвер кој се користи за уредување на фотографии и мултимедијални фајлови.
Безбедносните експерти на Microsoft откриле дека нападот во кој е променета инсталацијата на CyberLink е од 20 октомври 2023 година. Фајлот е пронајден на инфраструктурата на CyberLink, а има детектирани жртви на над 100 уреди од целиот свет. Помеѓу потврдените локации се Јапонија, Тајван, Канада и САД.
Supply chain attack
„Supply chain attack“ е хакерски напад преку трети страни. Во овие напади за да ја заобиколи заштитата напаѓачот користи мрежа или софтвер со кој жртвата веќе има воспоставено некаква доверба.Напаѓачот најпрво се инфилтрира во третата страна. Откако ќе „влезе“ манипулира со софтверот, сервисот или хардверот за да инсталира малициозни елементи. Потоа со помош на пропустите кои ги креирале ја напаѓаат жртвата.
Овие напади може да имаат различна форма. Може да бидат во софтверот или фирмверот, да станува збор за манипулација со хардверот, напади во дистрибуцијата или ако дистрибутерот или продавницата се компромитирани.
Освен под името „Lazarus“ хакерската група од Северна Кореја е идентификувана и со имињата (Diamond Sleet, ZINC, Labyrinth Chollima).
Групата го користела „signing“ сертификатот кој му бил издаден на CyberLink за својот малициозен софтвер. По откривањето, Microsoft го додаде сертификатот на листата на забрани, па во иднина жртвите ќе бидат безбедни од овој сертификат. Microsoft ги додаде и ги следи софтверот и малициозните пакети под името LambLoad, пишува Bleeping Computer.
Интересно, ако малициозниот софтвер пронајде заштита од FireEye, CrowdStrike или Tanium, останува во мирување без да продолжи со извршување на малициозниот пакет. Во спротивно, се поврзува со некој од серверите за команда и контрола и презема фајл маскиран како „.png“. Фајлот содржи вгнезден малициозен софтвер, кој по декриптирањето се крие во меморијата. Оттаму малициозниот софтвер краде чувствителни податоци за жртвите.
Засега не е откриено кои се податоците од интерес на групата во овој случај. Во минатото, крадеа чувствителни податоци од околината, ја компромитираа развојната околина, се ширеа низ мрежата во потрага по дополнителна експлоатација или користеа техники за воспоставување на постојан пристап до системите.
Кои се Diamond Sleet
Diamond Sleet (поранo ZINC) е активна хакерска група од Северна Кореја, позната по тоа што таргетира медиуми, индустрија за одбрана и информатичка технологија (ИТ) од целиот свет. Фокусирани се на шпионажа, кражба на лични и корпоративни податоци, финансиска добивка и уништување на корпоративни мрежи. Познато е дека Diamond Sleet користи разновиден малициозен софтвер кој е ексклузивен за групата.
Активностите на Diamond Sleet се поклопуваат со активноста следена од други безбедносни компании под имињата Temp.Hermit и Labyrinth Chollima, вели Microsoft.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
