Um grupo de ameaças norte-coreano violou uma empresa de software de Taiwan e aproveitou seus sistemas para entregar malware a dispositivos na América do Norte e na Ásia, informou a Microsoft esta semana.

O ator da ameaça é rastreado pela gigante da tecnologia como Diamond Sleet (Zinc). Anteriormente descrita como um subgrupo do notório Lazarus, a gangue de hackers tem conduzido ataques para roubo de dados, espionagem, destruição e ganho financeiro. No passado, foi observado visando pesquisadores de segurançatestadores de penetração e funcionários de empresas de tecnologia e segurança cibernética.

A Microsoft descobriu recentemente que Diamond Sleet tinha CyberLink Corp direcionadauma empresa de software com sede em Taiwan especializada em aplicativos de edição de áudio, vídeo e fotos.

Os hackers comprometeram os sistemas da empresa e modificaram um instalador legítimo de aplicativos. Eles adicionaram código malicioso projetado para baixar, descriptografar e carregar uma carga útil de segundo estágio.

A versão maliciosa do instalador foi assinada com um certificado CyberLink válido e hospedada em uma infraestrutura de atualização legítima.

A Microsoft começou a ver atividades relacionadas a esse instalador malicioso em 20 de outubro, com o arquivo atingindo mais de 100 dispositivos no Japão, Taiwan, Canadá e Estados Unidos.

A empresa rastreia o malware como LambLoad. A ameaça foi projetada para verificar o host comprometido quanto à presença de software de segurança da CrowdStrike, FireEye e Tanium antes de executar código malicioso – apenas o aplicativo CyberLink legítimo será executado se tais produtos de segurança forem detectados.

A Microsoft não viu nenhuma atividade prática no teclado como parte desta campanha, mas observou que o ator da ameaça é conhecido por roubar dados confidenciais das vítimas, comprometer ambientes de construção de software, mover-se para outras vítimas e estabelecer acesso persistente.

A Microsoft disponibilizou indicadores de comprometimento (IoCs) para ajudar os defensores a detectar a atividade do Diamond Sleet em sua rede.

Com informações de Cibersegurança Notícias e Ciberseg.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.