Microsoft ha advertido sobre un ataque a la cadena de suministro llevado a cabo por piratas informáticos norcoreanos. Los actores de amenazas actuaron adjuntando un archivo malicioso a un instalador legítimo de una app de edición de fotos y vídeos.
La división de inteligencia de amenazas de Microsoft cuenta en su blog que el autor es un grupo al que ha llamado 'Diamond Sleet'.
Los piratas lograron crear una variante maliciosa de una herramienta creada por la compañía de software tailandesa Cyberlink.
Hasta la fecha los atacantes han conseguido afectar a más de un centenar de dispositivos en varios países, incluyendo Japoón, Taiwán, Canadá y EE.UU.
Los investigadores de Microsoft detectaron actividad sospechosa ya el 20 de octubre, pero por ahora no han encontrado actividad manual en el teclado realizada después del compromiso a través de este malware.
El ejecutable malicioso, llamado LambLoad, actúa verificando los datos y la hora y confirma que el entorno no usa software de seguridad de FireEye, CrowdStrike o Tanium.
Si se cumplen estos requisitos sigue ejecutando el software legítimo de Cyberlink y abandona la ejecución de código malicioso. De lo contrario, trata de contactar con tres dominios maliciosos para descargar una segunda carga útil incrustada dentro de un archivo disfrazado de archivo PNG.
“Este archivo malicioso es un instalador legítimo de la aplicación CyberLink que ha sido modificado para incluir código malicioso que descarga, descifra y carga una carga útil de segunda etapa", ha explicado la compañía de Redmond en un post.
"El archivo, que fue firmado utilizando un certificado válido emitido a CyberLink Corp., está alojado en una infraestructura de actualización legítima propiedad de CyberLink e incluye controles para limitar el tiempo de ejecución y evadir la detección por parte de los productos de seguridad”, añade Microsoft.
La compañía de Satua Nadella dijo habría informado a CyberLink sobre el problema y avisó a los clientes que habían sido atacados o comprometidos en la campaña. También informó del problema de CyberLink a GitHub, que eliminó la carga útil de su plataforma.
Los autores
Estos cibermalos 'diamantinos' vinculados al gobierno de Corea del Norte centran sus esfuerzos en el espionaje, el robo de datos, las ganancias financieras y la destrucción de redes.
Además, Diamond Sleet tiene como objetivos principales los medios, los servicios TI y las entidades relacionadas con la defensa en todo el mundo.
Se sabe que Diamond Sleet utiliza malware personalizado y anteriormente se le ha visto armando software de código abierto junto con vulnerabilidades recientemente descubiertas.
El grupo normalmente busca exfiltrar datos confidenciales, comprometer los entornos de creación de software y atacar a víctimas posteriores, según recoge The Record Media.