朝鮮國傢支持的黑客正在散佈臺灣軟件制造商訊連科技(CyberLink)開發的合法應用程序的惡意版本,以下遊客戶為目標。微軟的威脅情報團隊周三表示,朝鮮黑客已入侵訊連科技,散佈該公司修改過的安裝文件,這是影響廣泛的供應鏈攻擊的一部分。
解更多:
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/
訊連科技是一傢總部位於臺灣的軟件公司,主要開發 PowerDVD 等多媒體軟件和人工智能面部識別技術。據該公司網站介紹,訊連科技擁有 200 多項專利技術,在全球已出貨 4 億多個應用程序。
微軟表示,該公司早在 2023 年 10 月 20 日就發現與修改後的訊連科技安裝程序相關的可疑活動,該安裝程序被該公司追蹤為"LambLoad"。迄今為止,微軟已在多個國傢(包括日本、臺灣、加拿大和美國)的 100 多臺設備上檢測到該木馬安裝程序。
微軟稱,該文件托管在訊連科技擁有的合法更新基礎設施上,攻擊者使用頒發給訊連科技的合法代碼簽名證書來簽署惡意可執行文件。微軟的威脅情報團隊表示:"該證書已被添加到微軟不允許使用的證書列表中,以保護客戶免受未來對該證書的惡意使用。"
該公司指出,在這次活動中觀察到的第二階段有效載荷與之前被同一組威脅行為者入侵的基礎設施進行交互。
微軟以"高度置信"的態度將這次攻擊歸咎於一個它追蹤的名為Diamond Sleet的組織,這是一個與臭名昭著的Lazarus黑客組織有關聯的朝鮮國傢行為者。據觀察,該組織以信息技術、國防和媒體領域的組織為目標。據微軟稱,它主要側重於間諜活動、經濟收益和企業網絡破壞。
微軟指出 Diamond Sleet 攻擊者通常會從被入侵的系統中竊取數據,滲透到軟件構建環境中,向下遊發展以利用更多受害者,並試圖獲得對受害者環境的持久訪問權。
微軟表示,它已將供應鏈受損事件通知訊連科技,但沒有說明是否已收到回復,也沒有說明訊連科技是否已根據公司的調查結果采取任何行動。該公司還通知受攻擊影響的Microsoft Defender for Endpoint客戶。