Een door de Noord-Koreaanse staat gesponsorde dreigingsactoren volgden Diamant Sleet verspreidt een getrojaniseerde versie van een legitieme applicatie, ontwikkeld door een Taiwanese multimediasoftwareontwikkelaar genaamd CyberLink, om zich te richten op downstream-klanten via een supply chain-aanval.
“Dit kwaadaardige bestand is een legitiem CyberLink-applicatie-installatieprogramma dat is aangepast om kwaadaardige code op te nemen die een lading in de tweede fase downloadt, decodeert en laadt”, zei het Microsoft Threat Intelligence-team woensdag in een analyse.
Het vergiftigde bestand, zei de technologiegigant, wordt gehost op de bijgewerkte infrastructuur die eigendom is van het bedrijf, terwijl het ook controles bevat om het tijdvenster voor uitvoering te beperken en detectie door beveiligingsproducten te omzeilen.
De campagne heeft naar schatting gevolgen gehad voor meer dan 100 apparaten in Japan, Taiwan, Canada en de VS. Al op 20 oktober 2023 werden verdachte activiteiten waargenomen in verband met het gewijzigde CyberLink-installatiebestand.
De links naar Noord-Korea komen voort uit het feit dat de payload in de tweede fase verbindingen tot stand brengt met command-and-control (C2)-servers die eerder door de dreigingsactor zijn gecompromitteerd.
Microsoft zei verder dat het heeft waargenomen dat de aanvallers gebruik maken van getrojaniseerde open source- en propriëtaire software om organisaties in de informatietechnologie-, defensie- en mediasector aan te vallen.
Diamond Sleet, dat aansluit bij clusters genaamd TEMP.Hermit en Labyrinth Chollima, is de naam die wordt toegekend aan een overkoepelende groep afkomstig uit Noord-Korea die ook wel Lazarus Group wordt genoemd. Het is bekend dat het actief is sinds ten minste 2013.
“Hun operaties sinds die tijd zijn representatief voor de inspanningen van Pyongyang om strategische inlichtingen te verzamelen ten behoeve van de Noord-Koreaanse belangen”, merkte Mandiant, eigendom van Google, vorige maand op. “Deze actor richt zich wereldwijd op de overheid, defensie, telecommunicatie en financiële instellingen.”
Interessant is dat Microsoft zei dat het geen enkele hands-on-toetsenbordactiviteit in doelomgevingen heeft gedetecteerd na de distributie van het gemanipuleerde installatieprogramma, dat de codenaam LambLoad heeft gekregen.
De bewapende downloader en lader inspecteren het doelsysteem op de aanwezigheid van beveiligingssoftware van CrowdStrike, FireEye en Tanium, en als deze niet aanwezig is, halen ze een andere payload op van een externe server die zich voordoet als een PNG-bestand.
“Het PNG-bestand bevat een ingebedde payload in een nep-buitenste PNG-header die in het geheugen is gesneden, gedecodeerd en gelanceerd”, aldus Microsoft. Na uitvoering probeert de malware verder contact op te nemen met een legitiem maar gecompromitteerd domein om extra payloads op te halen.
De onthullingen komen een dag nadat Palo Alto Networks Unit 42 twee campagnes onthulde, ontworpen door Noord-Koreaanse dreigingsactoren, om malware te verspreiden als onderdeel van fictieve sollicitatiegesprekken en om ongeoorloofd werk te verkrijgen bij organisaties in de VS en andere delen van de wereld.
Vorige maand betrok Microsoft Diamond Sleet ook bij de exploitatie van een kritieke beveiligingsfout in JetBrains TeamCity (CVE-2023-42793, CVSS-score: 9,8) om op opportunistische wijze kwetsbare servers te doorbreken en een achterdeur in te zetten die bekend staat als ForestTiger.
