Home Ciberguerra Ciberdelincuentes norcoreanos distribuyen software troyanizado CyberLink en un ataque a la cadena...

Ciberdelincuentes norcoreanos distribuyen software troyanizado CyberLink en un ataque a la cadena de suministro

Un actor de amenazas patrocinado por el estado de Corea del Norte, rastreado como Diamond Sleet, está distribuyendo una versión troyanizada de una aplicación legítima desarrollada por un desarrollador de software multimedia taiwanés llamado CyberLink para atacar a clientes intermedios a través de un ataque a la cadena de suministro.

“Este archivo malicioso es un instalador legítimo de la aplicación CyberLink que ha sido modificado para incluir código malicioso que descarga, descifra y carga una carga útil de segunda etapa”, dijo el equipo de Microsoft Threat Intelligence en un análisis el miércoles.

El archivo envenenado, dijo el gigante tecnológico, está alojado en la infraestructura de actualización propiedad de la compañía y al mismo tiempo incluye controles para limitar la ventana de tiempo de ejecución y evitar la detección por parte de los productos de seguridad.

Se estima que la campaña afectó a más de 100 dispositivos en Japón, Taiwán, Canadá y EE. UU. Ya el 20 de octubre de 2023 se observó actividad sospechosa asociada con el archivo de instalación de CyberLink modificado.

Los vínculos con Corea del Norte se derivan del hecho de que la carga útil de la segunda etapa establece conexiones con servidores de comando y control (C2) previamente comprometidos por el actor de amenazas.

Microsoft dijo además que ha observado que los atacantes utilizan software patentado y de código abierto troyanizado para atacar a organizaciones en los sectores de tecnología de la información, defensa y medios.

Diamond Sleet, que encaja con los grupos denominados TEMP.Hermit y Labyrinth Chollima, es el apodo asignado a un grupo paraguas originario de Corea del Norte que también se llama Lazarus Group. Se sabe que está activo desde al menos 2013.

Curiosamente, Microsoft dijo que no detectó ninguna actividad manual en el teclado en los entornos de destino después de la distribución del instalador manipulado, cuyo nombre en código LambLoad.

El descargador y cargador armado inspecciona el sistema de destino en busca de la presencia de software de seguridad de CrowdStrike, FireEye y Tanium y, si no está presente, recupera otra carga útil de un servidor remoto que se hace pasar por un archivo PNG.

Las revelaciones se producen un día después de que la Unidad 42 de Palo Alto Networks revelara campañas gemelas diseñadas por actores de amenazas norcoreanos para distribuir malware como parte de entrevistas de trabajo ficticias y obtener empleos no autorizados en organizaciones con sede en los EE. UU. y otras partes del mundo.