朝鲜国家支持的黑客正在散布台湾软件制造商讯连科技(CyberLink)开发的合法应用程序的恶意版本,以下游客户为目标。微软的威胁情报团队周三表示,朝鲜黑客已入侵讯连科技,散布该公司修改过的安装文件,这是影响广泛的供应链攻击的一部分。
了解更多:
讯连科技是一家总部位于台湾的软件公司,主要开发 PowerDVD 等多媒体软件和人工智能面部识别技术。据该公司网站介绍,讯连科技拥有 200 多项专利技术,在全球已出货 4 亿多个应用程序。
微软表示,该公司早在 2023 年 10 月 20 日就发现了与修改后的讯连科技安装程序相关的可疑活动,该安装程序被该公司追踪为"LambLoad"。迄今为止,微软已在多个国家(包括日本、台湾、加拿大和美国)的 100 多台设备上检测到该木马安装程序。
微软称,该文件托管在讯连科技拥有的合法更新基础设施上,攻击者使用了颁发给讯连科技的合法代码签名证书来签署恶意可执行文件。微软的威胁情报团队表示:"该证书已被添加到微软不允许使用的证书列表中,以保护客户免受未来对该证书的恶意使用。"
该公司指出,在这次活动中观察到的第二阶段有效载荷与之前被同一组威胁行为者入侵的基础设施进行了交互。
微软以"高度置信"的态度将这次攻击归咎于一个它追踪的名为Diamond Sleet的组织,这是一个与臭名昭著的Lazarus黑客组织有关联的朝鲜国家行为者。据观察,该组织以信息技术、国防和媒体领域的组织为目标。据微软称,它主要侧重于间谍活动、经济收益和企业网络破坏。
微软指出 Diamond Sleet 攻击者通常会从被入侵的系统中窃取数据,渗透到软件构建环境中,向下游发展以利用更多受害者,并试图获得对受害者环境的持久访问权。
微软表示,它已将供应链受损事件通知讯连科技,但没有说明是否已收到回复,也没有说明讯连科技是否已根据公司的调查结果采取了任何行动。该公司还通知了受攻击影响的Microsoft Defender for Endpoint客户。