Um ator de ameaças patrocinado pelo estado norte-coreano rastreado como Diamond Sleet está distribuindo uma versão trojanizada de uma aplicação legítima desenvolvida por um desenvolvedor de software multimédia taiwanês chamado CyberLink para atacar clientes a jusante através de um ataque à cadeia de suprimentos.
"Este arquivo malicioso é um instalador de aplicativo CyberLink legítimo que foi modificado para incluir um código malicioso que baixa, descriptografa e carrega um payload de segundo estágio", disse a equipe de Inteligência de Ameaças da Microsoft em uma análise na quarta-feira.
O arquivo envenenado, disse a gigante da tecnologia, está hospedado na infraestrutura de atualização de propriedade da empresa, enquanto também inclui verificações para limitar a janela de tempo para execução e contornar a detecção por produtos de segurança.
A campanha é estimada em mais de 100 dispositivos impactados no Japão, Taiwan, Canadá e EUA.
A atividade suspeita associada ao arquivo instalador da CyberLink modificado foi observada a partir de 20 de outubro de 2023.
Os laços com a Coreia do Norte vêm do fato de que o payload de segundo estágio estabelece conexões com servidores de comando e controle (C2) previamente comprometidos pelo ator de ameaça.
A Microsoft disse ainda que observou os invasores utilizando software de código aberto e proprietário trojanizado para atacar organizações nos setores de tecnologia da informação, defesa e mídia.
Diamond Sleet, que se alinha com agrupamentos denominados TEMP.Hermit e Labyrinth Chollima, é o nome atribuído a um grupo guarda-chuva originário da Coreia do Norte conhecido também como Grupo Lazarus.
Ele está ativo desde pelo menos 2013.
"Suas operações desde esse tempo são representativas dos esforços de Pyongyang para coletar informações estratégicas em benefício dos interesses norte-coreanos", apontou a Mandiant, de propriedade do Google, no último mês.
"Esse ator tem como alvo governos, defesa, telecomunicações e instituições financeiras em todo o mundo."
Curiosamente, a Microsoft disse que não detectou nenhuma atividade prática no teclado nos ambientes-alvo após a distribuição do instalador adulterado, que foi codinomeado LambLoad.
O downloader e loader armados inspecionam o sistema alvo para a presença de software de segurança da CrowdStrike, FireEye e Tanium, e se não estiverem presentes, buscam outro payload de um servidor remoto que se disfarça como um arquivo PNG.
"O arquivo PNG contém um payload embutido em um falso cabeçalho PNG externo que é, esculpido, descriptografado e lançado na memória", disse a Microsoft.
Após a execução, o malware tenta ainda entrar em contato com um domínio legítimo mas comprometido para a recuperação de payloads adicionais.
As divulgações aparecem um dia após a Unit 42 da Palo Alto Networks revelar campanhas gêmeas arquitetadas por atores de ameaças norte-coreanas para distribuir malware como parte de entrevistas de emprego fictícias e obter emprego não autorizado em organizações baseadas nos EUA e em outras partes do mundo.
No mês passado, a Microsoft também implicou Diamond Sleet na exploração de uma falha de segurança crítica no JetBrains TeamCity (
CVE-2023-42793
, pontuação CVSS: 9.8) para violar servidores vulneráveis de forma oportunista e implantar um backdoor conhecido como ForestTiger.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...