讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件,该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD,就是迅连科技的产品。
根据 Microsoft 威胁情报(https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/),疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。
该木马安装程序托管在讯连科技拥有的合法更新基础设施上,迄今为止已在全球 100 多台设备上检测到,包括日本、台湾、加拿大和美国。
在调查此攻击时观察到的第二阶段有效负载与同一组攻击者之前破坏的基础设施进行交互。
该公司表示:“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。”
“该证书已添加到 Microsoft不允许信任的证书列表中,以保护客户免受未来恶意使用该证书的影响。”
使用合法证书签名的木马 Cyberlink 安装程序 (BleepingComputer)
微软将木马软件和相关有效负载跟踪为 LambLoad(恶意软件下载器和加载器)。
LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件,恶意可执行文件将继续运行,而不执行捆绑的恶意代码。
但是,如果满足条件,恶意软件将与三个命令与控制 (C2) 服务器之一连接,以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载。
微软表示:“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载,该有效负载在内存中被提取、解密和启动。”
这是 Lazarus 黑客组织使用的常见攻击方法,他们以木马化合法加密货币软件来窃取加密资产而闻名。
尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动,但 Lazarus 黑客却以以下方式而闻名:
从受损系统中窃取敏感数据渗透软件构建环境向下游发展以利用更多受害者建立对受害者环境的持久访问在检测到供应链攻击后,Microsoft 通知了 CyberLink,并通知了受攻击影响的微软客户。
微软还向 GitHub 报告了这次攻击,GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。
Lazarus Group 是有朝鲜官方背景的知名黑客组织,至少自 2009 年以来已经运营了十多年。Lazarus 以全球范围内的组织为目标而闻名,迄今为止的行动包括对金融机构、媒体和政府机构的攻击。
他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。
该组织被认为是许多备受瞩目的网络攻击的幕后黑手,包括 2014 年索尼影业黑客攻击、2017 年WannaCry 勒索软件攻击以及 2022 年有史以来最大规模的加密黑客攻击。
参考链接:https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-breach-cyberlink-in-supply-chain-attack/
