attaque de la chaîne d’approvisionnement originaire de Corée du Nord et cheval de Troie dans un programme d’installation d’application du fournisseur de services de reconnaissance faciale taïwanais CyberLink a des connotations d’un film de James Bond.
Selon un bulletin publié sur le blog Microsoft Danger Intelligence, des étoiles du danger connues sous le nom de Diamond Sleet ont ciblé des institutions financières étrangères au nom du groupe Lazarus, une société de hackers de la RPDC. Le code malveillant intégré dans l’application CyberLink légitime recherche l’existence d’un logiciel de sécurité spécifique. Si le logiciel défini n’est pas installé, le sinistre programme d’installation télécharge, décrypte puis charge une charge utile de deuxième étape camouflée sous forme de fichier PNG, qui communique avec les installations autrefois menacées par Diamond Sleet.
Le fichier modifié, déclare le groupe MS Threat Intelligence, « a été signé à l’aide d’un certificat valide fourni à CyberLink Corp., est hébergé sur les installations de mise à jour légitimes appartenant à CyberLink et comprend des contrôles pour restreindre la fenêtre de temps d’exécution et échapper à la détection par les produits de sécurité. Plus de 100 appareils ont été touchés dans de nombreux pays, dont Taiwan, le Canada et les États-Unis.
Microsoft affirme avoir observé pour la première fois une activité suspecte liée au programme d’installation de CyberLink en octobre de cette année. Le certificat compromis a maintenant été ajouté à la liste des certificats interdits de Microsoft et les parties concernées ont été alertées, notamment les clients MS Protector for Endpoint qui ont été affectés par l’attaque, et GitHub, qui a supprimé la charge utile de deuxième étape conformément à ses normes acceptables. utiliser les politiques.
Microsoft continue de suivre l’application militarisée et les charges utiles associées sous le nom de « LambLoad ».
Le nom est Sleet– Diamond Sleet
Exactement qui ou qu’est-ce que le mystérieux Diamond Sleet ? L’organisation d’espionnage numérique soutenue par le gouvernement fédéral de Kim Jong-Un cible les marchés des médias, de la défense et de l’informatique avec des vols de données et des attaques sur les réseaux d’entreprise.
Microsoft n’a pas encore reconnu « l’activité pratique sur le clavier effectuée après une compromission avec ce malware », et le message ne montre aucune compromission des informations biométriques. Il affirme avoir une grande confiance dans le fait que l’attaque provenait de Diamond Sleet, qui a l’habitude d’utiliser des stratégies de cheval de Troie similaires pour pénétrer dans les environnements de construction d’applications logicielles et déplacer ses logiciels malveillants en aval. Actif depuis 2013, Diamond Sleet fonctionne sous l’égide du groupe obscur Lazarus, une société de hackers autrefois illégale mais désormais sanctionnée par le gouvernement, connue sous les noms de Guardians of Peace, ZINC, BlueNoroff et Hidden Cobra.
Les dirigeants occidentaux ont en fait associé une variété de cyberattaques importantes au cours des dernières années au groupe Lazarus, notamment l’attaque importante de 2014 contre Sony Pictures, Operation Ghost Secret, DarkSeoul, WannaCry et Ten Days of Rain.
Microsoft déclare il inclura toutes les mises à jour requises sur le problème CyberLink dans le message Hazard Intelligence, qui comprend également des recommandations sur la manière de prévenir l’attaque et de réduire son impact.
Le logiciel de reconnaissance faciale de CyberLink a obtenu une certification de cybersécurité d’un pays du Sud. Organisme gouvernemental coréen en septembre.
Toute l’actualité en temps réel, est sur L’Entrepreneur