Lazarus 黑客在供应链攻击中破坏了讯连科技

2023年11月23日22:45:48评论110 views字数 1436阅读4分47秒阅读模式

更多全球网络安全资讯尽在邑安全

微软表示，朝鲜黑客组织入侵了台湾多媒体软件公司讯连科技，并对其一名安装程序进行木马化，以在针对全球潜在受害者的供应链攻击中推送恶意软件。

根据 Microsoft 威胁情报，疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。

该木马安装程序托管在讯连科技拥有的合法更新基础设施上，迄今为止已在全球 100 多台设备上检测到，包括日本、台湾、加拿大和美国。

微软高度确信此次供应链攻击是由 Redmond 追踪的朝鲜网络间谍组织 Diamond Sleet（又名 ZINC、Labyrinth Chollima 和 Lazarus）发起的。

在调查此攻击时观察到的第二阶段有效负载与同一组威胁行为者之前破坏的基础设施进行交互。

该公司表示：“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。”

“该证书已添加到 Microsoft不允许的证书列表中，以保护客户免受未来恶意使用该证书的影响。”

微软将木马软件和相关有效负载跟踪为 LambLoad（恶意软件下载器和加载器）。

LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件，恶意可执行文件将继续运行，而不执行捆绑的恶意代码。

但是，如果满足条件，恶意软件将与三个命令与控制 (C2) 服务器之一连接，以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载.'

微软表示：“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载，该有效负载在内存中被雕刻、解密和启动。”

这是 Lazarus 朝鲜威胁行为者使用的常见攻击方法，他们以木马化合法加密货币软件来窃取加密资产而闻名。

尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动，但 Lazarus 黑客却以以下方式而闻名：

在检测到供应链攻击后，Microsoft 通知了 CyberLink，并通知了受攻击影响的 Endpoint 客户的 Microsoft Defender。

微软还向 GitHub 报告了这次攻击，GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。

讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件，该公司表示其应用程序已在全球销售了 4 亿份。

讯连科技发言人没有立即回应 BleepingComputer 的置评请求。

原文来自:bleepingcomputer.com

原文链接:https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-breach-cyberlink-in-supply-chain-attack/#google_vignette

欢迎收藏并分享朋友圈，让五邑人网络更安全

Lazarus 黑客在供应链攻击中破坏了讯连科技

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

大多数人仍然依靠记忆或笔和纸来管理密码