Microsoft Threat Intelligence rapporte la découverte d’une attaque sur la chaîne d’approvisionnement. Elle implique la distribution d’une version malveillante d’une application développée par l’éditeur de logiciels multimédia CyberLink.
Un installateur légitime de CyberLink a été modifié dans le but d’inclure du code qui télécharge et déchiffre une charge utile de deuxième niveau. Hébergé sur une infrastructure de mise à jour appartenant à CyberLink, le fichier malveillant a été signé à l’aide d’un certificat valide émis par l’éditeur.
Le malware est identifié en tant que LambLoad. Le code malveillant intégré n’est exécuté que si certaines conditions sont remplies. Probablement pour éviter une détection, un environnement protégé par FireEye, CrowdStrike ou Tanium est par exemple épargné.
Des conséquences encore floues
En cas d’exécution, trois domaines sont contactés pour télécharger la charge utile malveillante de deuxième niveau qui est présente dans un fichier maquillé en fichier d’image PNG (.png). C’est une tentative de connexion vers l’un des trois serveurs de commande et contrôle des attaquants.
Les chercheurs en sécurité de Microsoft soulignent des domaines légitimes, mais qui ont été compromis par les attaquants. De fil en aiguille, ces derniers sont vraisemblablement en capacité de prendre le contrôle total d’un appareil infecté.
Depuis au moins le 20 octobre 2023, le rapport de Microsoft Threat Intelligence évoque la détection d’une activité malveillante pour plus d’une centaine d’appareils de plusieurs pays dans le monde, dont le Canada, les États-Unis et le Japon, ainsi que Taïwan.
Avec le soutien de la Corée du Nord ?
CyberLink a été informé de l’incident de cybersécurité. Microsoft a notifié les cibles affectées et a ajouté le certificat de CyberLink utilisé pour signer le fichier malveillant à sa liste de blocage.
Parmi d’autres mesures prises, GitHub a supprimé la charge utile de deuxième niveau qui se trouvait sur sa plateforme.
Un billet de blog publie les indicateurs de compromission et détaille la campagne d’attaque. Avec un niveau de confiance dit élevé, elle est attribuée à un groupe de cyberespionnage nord-coréen du nom de Diamond Sleet. Par le passé, il a pu être identifié par d’autres noms tels que Zinc et surtout Lazarus.