朝鲜APT DIAMOND SLEET 供应链攻击依赖讯连科技软件

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜有联系的 APT 组织 Diamond Sleet 正在供应链攻击中分发 CyberLink 软件的木马版本。

微软威胁情报研究人员发现，与朝鲜有关的 APT Diamond Sleet (ZINC) 发起的供应链攻击涉及 CyberLink 软件的木马变体。攻击者使用了合法讯连科技应用程序安装程序的恶意软件版本，该安装程序使用颁发给讯连科技公司的有效证书进行签名。该安装程序托管在软件公司讯连科技拥有的合法更新基础设施上，并包括限制执行时间窗口的检查并逃避安全产品的检测。

据微软称，供应链攻击影响了多个国家/地区的 100 多台设备，包括日本、台湾、加拿大和美国。

研究人员早在 2023 年 10 月 20 日就观察到了可疑活动。微软尚未识别攻击者在通过该恶意软件入侵后进行的“手动键盘活动”。

恶意安装程序包括名为 LambLoad 的武器化下载程序。在启动任何恶意软件之前，LambLoad 会执行一系列检查，以避免在虚拟化环境中执行，并确定主机上是否存在特定安全软件。

加载程序检查以下进程名称：

• csfalconservice.exe  （CrowdStrike Falcon）

• xagt.exe  （FireEye 代理）

• taniumclient.exe  （Tanium EDR 解决方案）

以避免针对受 FireEye、CrowdStrike 或 Tanium 解决方案保护的系统。

“如果不满足这些条件，可执行文件将继续运行讯连科技软件并放弃进一步执行恶意代码。”阅读微软发布的报告。“否则，该软件会尝试联系三个 URL 之一，以使用静态用户代理“Microsoft Internet Explorer”下载嵌入在伪装成 PNG 文件的文件中的第二阶段有效负载：

• hxxps[:]//i.stack.imgur[.]com/NDTUM.png

• hxxps[:]//www.webville[.]net/images/CL202966126.png

• hxxps[:]//cldownloader.github[.]io/logo.png

PNG 文件在欺骗性的外部 PNG 标头中嵌入有效负载，系统在内存中提取、解密并执行它。

攻击者将恶意代码连接到之前受感染的 C2 服务器。

该报告包括针对此供应链攻击的妥协指标 (IoC)。

Diamond Sleet 是一个 APT 组织，在 Lazarus 组织的保护下运营，至少自 2013 年以来一直活跃。

Microsoft 最近观察到 Diamond Sleet 利用木马开源和专有软件来攻击信息技术、国防和媒体领域的组织。

10 月，微软警告称，与朝鲜有关的威胁行为者正在积极利用  JetBrains TeamCity 中的一个关键安全漏洞，该漏洞被追踪为CVE-2023-42793 （CVSS 评分：9.8）。

微软 将最近的攻击归咎于 两个朝鲜 APT 组织 Diamond Sleet 和 Onyx Sleet，它们在 Lazarus Group 的 保护下运作。 

2023 年 12 月 6 日更新 – 讯连科技提供的声明

2023 年 11 月 22 日，我们在多媒体程序 Promeo 的安装文件中发现了恶意软件问题。发现后，我们的专门网络安全团队立即消除了该错误，并采取了额外的安全措施，以防止将来再次发生这种情况。

我们致力于维持最高的数字安全标准，并非常严肃地对待此事。因此，作为预防措施，我们决定使用 Microsoft Defender、CrowdStrike、Symantec、TrendMicro 和 Sophos 软件等值得信赖的工具来检查讯连科技的全系列产品（例如 PowerDirector、PhotoDirector、PowerDVD）。 我们可以确认其他程序均未受到影响。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT DIAMOND SLEET 供应链攻击依赖讯连科技软件