Microsoft, henüz uygulamalı klavye etkinliğini tespit etmediğini söyledi ancak Diamond Sleet saldırganlarının genellikle güvenliği ihlal edilmiş sistemlerden veri çaldığını, yazılım oluşturma ortamlarına sızdığını, daha fazla kurbandan yararlanmak için aşağı yönde ilerlediğini ve kurbanların ortamlarına kalıcı erişim sağlamaya çalıştığını belirtti
Kuzey Kore devlet destekli bilgisayar korsanları, Tayvanlı bir yazılım üreticisi olan CyberLink tarafından geliştirilen meşru bir uygulamanın kötü amaçlı bir sürümünü alt müşterileri hedeflemek için dağıtıyor ve AI yüz tanıma teknolojisi
Microsoft, 20 Ekim 2023 gibi erken bir tarihte şirket tarafından “LambLoad” olarak takip edilen değiştirilmiş CyberLink yükleyicisiyle ilgili şüpheli etkinlik gözlemlediğini söyledi
genel-24
Microsoft, bu saldırıyı “yüksek güvenle”, kötü şöhretli Lazarus hack grubuyla bağlantısı olan Kuzey Koreli bir ulus devlet aktörü olan Diamond Sleet olarak takip ettiği bir gruba bağladı “Bu sertifika Microsoft’un izin verilmeyen sertifika listesi Microsoft’un Tehdit İstihbaratı ekibi, “Müşterileri sertifikanın gelecekteki kötü amaçlı kullanımlarından korumak için” dedi Şirket ayrıca saldırıdan etkilenen Uç Nokta müşterileri için Microsoft Defender’ı da bilgilendiriyor
CyberLink, merkezi Tayvan’da bulunan ve PowerDVD gibi multimedya yazılımları geliştiren bir yazılım şirketidir
CyberLink, TechCrunch’ın sorularına yanıt vermedi
Şirket, bu kampanyada gözlemlenen ikinci aşama bir veri yükünün, daha önce aynı grup tehdit aktörü tarafından tehlikeye atılan altyapıyla etkileşime girdiğini kaydetti Ve Microsoft’a göre ağırlıklı olarak casusluk, mali kazanç ve kurumsal ağ imhasına odaklanıyor Bu grubun bilgi teknolojisi, savunma ve medya sektörlerindeki kuruluşları hedef aldığı gözlemlendi
Microsoft’un Tehdit İstihbaratı ekibi söz konusu Çarşamba günü Kuzey Koreli bilgisayar korsanları, geniş kapsamlı bir tedarik zinciri saldırısının parçası olarak şirketten değiştirilmiş bir yükleyici dosyasını dağıtmak için CyberLink’in güvenliğini tehlikeye attı
Microsoft’a göre dosya, CyberLink’e ait meşru güncelleme altyapısında barındırılıyor ve Microsoft’a göre saldırganlar, kötü amaçlı yürütülebilir dosyayı imzalamak için CyberLink’e verilen meşru bir kod imzalama sertifikası kullandı
Microsoft, tedarik zincirindeki uzlaşmayı CyberLink’e bildirdiğini söyledi ancak bir yanıt alıp almadığını veya CyberLink’in şirketin bulguları ışığında herhangi bir eylemde bulunup bulunmadığını söylemedi Şimdiye kadar Japonya, Tayvan, Kanada ve Amerika Birleşik Devletleri de dahil olmak üzere birçok ülkede 100’den fazla cihazda truva atı bulaştırılmış yükleyiciyi tespit etti