North Korean Software Supply Chain Attack Hits North America, Asia
2023/11/24 SecurityWeek — 今週に Microsoft が報告したのは、北朝鮮の脅威グループ Diamond Sleet (Zinc) が台湾のソフトウェア会社に侵入し、そのシステムを悪用して、北米とアジアに展開されるデバイスへ向けてマルウェアを配信したことだ。この脅威グループは、以前は Lazarus のサブ・グループとされてきたハッカー集団であり、データ窃盗/スパイ活動/破壊/金銭的利益を目的とする攻撃を行なってきた。そして、サイバー・セキュリティやハイテク企業の従業員に加えて、セキュリティ研究者や侵入テスト担当者も攻撃してきたという。
先日に Microsoft は、オーディオ/ビデオ/写真編集アプリケーションのソフトウェア会社 CyberLink Corp を、Diamond Sleet が標的にしていたことを発見した。
同社のシステムに侵入したハッカーたちは、正規のアプリケーション・インストーラーを変更した。彼らは、第2段階のペイロードをダウンロード/復号化するように設計された、悪意のコードを追加している。
この悪意のバージョンへと改ざんされたインストーラーは、有効なサイバーリンク証明書で署名され、正規のアップデート・インフラにホストされていたという。
Microsoft が確認したのは、この悪意のインストーラに関連する活動が、10月20日から開始されたことであり、それらのファイルが、日本/台湾/米国/カナダなどの、100 台以上のデバイスに到達したことだ。
Microsoft は、この悪意のインストーラーを LambLoad として追跡している。このマルウェアは、悪意のコードを実行する前に、侵害されたホスト上に CrowdStrike/FireEye/Tanium などのセキュリティ・ソフトウェアが存在しないことをチェックするよう設計されている。そして、このようなセキュリティ製品が検出された場合には、正規の CyberLink アプリケーションのみが実行される。
Microsoft は、このキャンペーンにおいて、人間が操作する活動は確認されていないという。しかし、この脅威アクターの通常の活動としては、被害者からの機密データの窃取/ソフトウェアビルド環境の侵害/ダウンストリームへの侵害の拡大/永続的なアクセスの確立などがあると指摘している。
ネットワーク上の Diamond Sleet の活動を、防御者が検出する際に役立つ IoC (indicator of compromise) を、Microsoft は公開している。
CyberLink を調べてみたら、しっかりとした Web ページも提供されており、日本のマーケットが心配な状況です。Diamond Sleet (Zinc) が Lazarus と関連しているとすると、かなり高度な技術を持つグループだと推測されます。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.