Ataque norte-coreano a dispositivos CyberLink afetou mais de cem dispositivos

A Microsoft descobriu um ataque à cadeia de abastecimento levado a cabo por cibercriminosos da Coreia do Norte, que criaram uma variante maliciosa de uma aplicação criada pela CyberLink, uma empresa de software taiwanesa.

A Microsoft Threat Intelligence atribuiu a atividade ao Diamond Sleet, um grupo de cibercriminosos dentro do governo norte-coreano focado em espionagem, furto de dados, ganho financeiro e destruição de rede, e tem como alvo os media, os serviços de TI e as entidades relacionadas com a defesa por todo o mundo.

Os cibercriminosos do Diamond Sleet anexaram um arquivo malicioso a um instalador legítimo de uma aplicação de edição de vídeo e fotografia, concebida pela CyberLink. A empresa taiwanesa não respondeu aos pedidos de declarações sobre as descobertas da Microsoft.

“Este arquivo malicioso é um instalador legítimo de aplicação da CyberLink que foi modificado para incluir código malicioso que faz download, descriptografa e carrega uma carga útil de segunda fase. O arquivo, que foi assinado utilizando um certificado válido emitido para a CyberLink Corp., está hospedado numa infraestrutura de atualização legítima de propriedade da CyberLink e inclui verificações para limitar a janela de tempo de execução e evitar a deteção por produtos de segurança”, afirma a Microsoft.

A Microsoft revela que, “até agora, a atividade maliciosa impactou mais de cem dispositivos em vários países, incluindo Japão, Taiwan, Canadá e Estados Unidos”. Os investigadores da empresa disseram que constataram atividades suspeitas no dia 20 de outubro, mas ainda não observaram atividades ‘hands-on-keyboard’ realizadas após o comprometimento através do malware.

O executável malicioso – chamado LambLoad – é um “downloader e loader armado”. Antes de iniciar, este procede à verificação dos dados, da hora e se o ambiente não está a utilizar software de segurança da FireEye, CrowdStrike ou Tanium.

“Se esses critérios não forem atendidos, o executável continua a executar o software CyberLink e abandona a execução adicional de código malicioso”, explica a Microsoft. Caso contrário, o software procura entrar em contacto com três domínios maliciosos para fazer download de uma segunda carga incorporada num arquivo disfarçado de um ficheiro PNG.

De acordo com a Microsoft, a empresa conseguiu atribuir a campanha ao grupo Diamond Sleet, uma vez que, na segunda fase dos ataques, o malware comunica com a infraestrutura previamente comprometida pelo grupo. 

A Microsoft disse que informou a CyberLink sobre o problema e informou aos clientes que foram visados ou comprometidos na campanha. Isto foi igualmente reportado ao GitHub, que removeu a carga útil da sua plataforma. Por sua vez, o certificado CyberLink, utilizado para assinar o arquivo malicioso, também foi bloqueado pelas ferramentas da Microsoft.