News

Ataque norte-coreano a dispositivos CyberLink afetou mais de cem dispositivos

A Microsoft descobriu um ataque norte-coreano que afetou um instalador legítimo de uma aplicação da CyberLink, impactando mais de cem dispositivos por todo o mundo

25/11/2023

Ataque norte-coreano a dispositivos CyberLink afetou mais de cem dispositivos

A Microsoft descobriu um ataque à cadeia de abastecimento levado a cabo por cibercriminosos da Coreia do Norte, que criaram uma variante maliciosa de uma aplicação criada pela CyberLink, uma empresa de software taiwanesa.

A Microsoft Threat Intelligence atribuiu a atividade ao Diamond Sleet, um grupo de cibercriminosos dentro do governo norte-coreano focado em espionagem, furto de dados, ganho financeiro e destruição de rede, e tem como alvo os media, os serviços de TI e as entidades relacionadas com a defesa por todo o mundo.

Os cibercriminosos do Diamond Sleet anexaram um arquivo malicioso a um instalador legítimo de uma aplicação de edição de vídeo e fotografia, concebida pela CyberLink. A empresa taiwanesa não respondeu aos pedidos de declarações sobre as descobertas da Microsoft.

“Este arquivo malicioso é um instalador legítimo de aplicação da CyberLink que foi modificado para incluir código malicioso que faz download, descriptografa e carrega uma carga útil de segunda fase. O arquivo, que foi assinado utilizando um certificado válido emitido para a CyberLink Corp., está hospedado numa infraestrutura de atualização legítima de propriedade da CyberLink e inclui verificações para limitar a janela de tempo de execução e evitar a deteção por produtos de segurança”, afirma a Microsoft.

A Microsoft revela que, “até agora, a atividade maliciosa impactou mais de cem dispositivos em vários países, incluindo Japão, Taiwan, Canadá e Estados Unidos. Os investigadores da empresa disseram que constataram atividades suspeitas no dia 20 de outubro, mas ainda não observaram atividades ‘hands-on-keyboard’ realizadas após o comprometimento através do malware.

O executável malicioso – chamado LambLoad – é um “downloader e loader armado”. Antes de iniciar, este procede à verificação dos dados, da hora e se o ambiente não está a utilizar software de segurança da FireEye, CrowdStrike ou Tanium.

“Se esses critérios não forem atendidos, o executável continua a executar o software CyberLink e abandona a execução adicional de código malicioso”, explica a Microsoft. Caso contrário, o software procura entrar em contacto com três domínios maliciosos para fazer download de uma segunda carga incorporada num arquivo disfarçado de um ficheiro PNG.

De acordo com a Microsoft, a empresa conseguiu atribuir a campanha ao grupo Diamond Sleet, uma vez que, na segunda fase dos ataques, o malware comunica com a infraestrutura previamente comprometida pelo grupo. 

A Microsoft disse que informou a CyberLink sobre o problema e informou aos clientes que foram visados ou comprometidos na campanha. Isto foi igualmente reportado ao GitHub, que removeu a carga útil da sua plataforma. Por sua vez, o certificado CyberLink, utilizado para assinar o arquivo malicioso, também foi bloqueado pelas ferramentas da Microsoft.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº16 Fevereiro 2024

IT SECURITY Nº16 Fevereiro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.