Microsoft affirme qu’un groupe de piratage nord-coréen a piraté la société taïwanaise de logiciels multimédia CyberLink et utilisé un cheval de Troie pour lancer des logiciels malveillants dans le cadre d’une attaque contre la chaîne d’approvisionnement ciblant des victimes potentielles dans le monde entier.

Selon Microsoft Threat Intelligence, une activité soupçonnée d’être liée au fichier d’installation modifié de CyberLink est apparue dès le 20 octobre 2023.

Ce programme d’installation cheval de Troie a été détecté sur plus de 100 appareils dans divers pays du monde, notamment au Japon, à Taiwan, au Canada et aux États-Unis.

Les experts en sécurité de Microsoft ont attribué avec une grande confiance cette attaque de la chaîne d’approvisionnement à un groupe de cyberespionnage nord-coréen suivi par Redmond sous le nom de Diamond Sleet (alias ZINC, Labyrinth Chollima et Lazarus).

La charge utile de deuxième étape observée lors de l’enquête sur cette attaque interagit avec l’infrastructure que le même groupe d’acteurs menaçants avait précédemment compromise.

« Diamond Sleet a utilisé un certificat de signature de code légitime délivré à CyberLink Corp. pour signer l’exécutable malveillant », a indiqué la société.

« Ce certificat a été ajouté à la liste des certificats non autorisés de Microsoft pour protéger les clients contre toute utilisation malveillante future du certificat. »

Programme d’installation d’un cheval de Troie Cyberlink signé avec un certificat légitime

Microsoft suit les logiciels trojanisés et les charges utiles associées sous le nom de LambLoad, un téléchargeur et chargeur de logiciels malveillants.

LambLoad cible les systèmes non protégés par les logiciels de sécurité FireEye, CrowdStrike ou Tanium. Si ces conditions ne sont pas remplies, l’exécutable malveillant continue de s’exécuter sans exécuter le code malveillant groupé.

Cependant, si les critères sont remplis, le malware se connecte à l’un des trois serveurs de commande et de contrôle (C2) pour récupérer une charge utile de deuxième étape dissimulée dans un fichier se faisant passer pour un fichier PNG à l’aide de l’agent utilisateur statique de Microsoft Internet Explorer. .’

« Le fichier PNG contient une charge utile intégrée dans un faux en-tête PNG externe qui est sculpté, déchiffré et lancé en mémoire », explique Microsoft.

Il s’agit d’une méthode d’attaque courante utilisée par les acteurs de la menace nord-coréenne Lazarus, connus pour utiliser des logiciels de trojan légitimes de crypto-monnaie afin de voler des actifs cryptographiques.

Même si Microsoft n’a pas encore détecté d’activité manuelle sur le clavier suite aux violations du logiciel malveillant LambLoad, les pirates de Lazarus sont connus pour :

  • Voler des données sensibles sur des systèmes compromis
  • Infiltration des environnements de construction de logiciels
  • Progresser en aval pour exploiter davantage de victimes
  • Établir un accès persistant aux environnements des victimes

Après avoir détecté une attaque sur la chaîne d’approvisionnement, Microsoft a informé CyberLink et informe également les clients Microsoft Defender for Endpoint qui ont été concernés par l’attaque.

Microsoft a également signalé l’attaque à GitHub, qui a supprimé la charge utile de deuxième étape conformément à ses politiques d’utilisation acceptable.

Un porte-parole de CyberLink n’a pas immédiatement répondu à la demande de commentaires de Breachtrace.

Qui est Lazare ?
Le groupe Lazarus est un groupe de hackers parrainé par la Corée du Nord qui opère depuis plus de dix ans, depuis au moins 2009.

Connus pour cibler des organisations du monde entier, leurs opérations ont jusqu’à présent inclus des attaques contre des institutions financières, des médias et des agences gouvernementales.

Lazarus a été associé à un large éventail d’activités malveillantes incluant l’espionnage, les violations de données et l’exploitation financière. Leurs campagnes impliquaient également de cibler des chercheurs en sécurité, d’intégrer du code malveillant dans des plateformes de crypto-monnaie open source, d’exécuter des braquages massifs de crypto-monnaie et d’utiliser des entretiens d’embauche simulés pour diffuser des logiciels malveillants.

On pense que le groupe est à l’origine de nombreuses cyberattaques très médiatisées, notamment le piratage de Sony Pictures en 2014, l’attaque du ransomware WannaCry en 2017 et le plus grand piratage cryptographique jamais réalisé en 2022.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *