Piratage informatique : Diamond Sleet distribue un logiciel CyberLink trojanisé pour s’attaquer à la chaîne d’approvisionnement

Dans un monde où la cybersécurité est plus cruciale que jamais, une récente analyse de l’équipe Microsoft Threat Intelligence a mis en lumière un stratagème audacieux. Un programme d’installation apparemment inoffensif d’une application CyberLink s’est avéré être un cheval de Troie, injecté de code malveillant pour lancer une attaque sophistiquée.

Le Subterfuge Détecté

• Le Fichier Empoisonné : Hébergé sur l’infrastructure de mise à jour de l’entreprise, ce fichier malicieux télécharge et décrypte une charge utile de deuxième niveau, échappant astucieusement aux détecteurs de sécurité.
• Impact Global : Plus de 100 appareils au Japon, à Taïwan, au Canada et aux États-Unis ont été touchés, avec des signes d’activité suspecte observés dès le 20 octobre 2023.

Les Liens avec la Corée du Nord

• Rattachement à Diamond Sleet : Ce groupe, lié aux groupes TEMP.Hermit et Labyrinth Chollima et faisant partie de l’infâme Lazarus Group de Corée du Nord, est actif depuis 2013. Mandiant, une société de Google, a souligné leur rôle dans la collecte de renseignements stratégiques pour Pyongyang.
• Cibles et Techniques : Le groupe cible des gouvernements, la défense, les télécommunications et les institutions financières à l’échelle mondiale, utilisant des logiciels propriétaires et open-source trojanisés.

LambLoad : Le Cheval de Troie Détecté

• Inspecteur de Sécurité : Ce programme d’installation modifié, surnommé LambLoad, scrute les systèmes cibles pour détecter la présence de logiciels de sécurité de CrowdStrike FireEye et Tanium.
• Le Fichier PNG Trompeur : Un fichier PNG, contenant une charge utile cachée, est téléchargé et déployé en mémoire, établissant ensuite des communications avec des domaines légitimes mais compromis.

La Menace Évolutive

• Exploitation de Failles : Diamond Sleet a été également impliqué dans l’exploitation de la faille de sécurité critique JetBrains TeamCity, avec un score CVSS de 9.8.
• Attaques de la Chaîne d’Approvisionnement : Ces acteurs ont été observés exploitant des vulnérabilités « zero day », ciblant spécifiquement certaines victimes sans discernement.

L’Avertissement des Autorités

• La Corée du Sud et l’Union européenne ont émis des alertes sur la sophistication croissante et la fréquence des attaques de la chaîne d’approvisionnement de la Corée du Nord.

Votre Défense Contre les Menaces d’Initiés

• Apprenez et Agissez : Découvrez comment la détection d’applications et la modélisation automatisée du comportement peuvent renforcer votre défense contre ces menaces.
• Rejoignez la Conversation : Inscrivez-vous pour recevoir des actualités, des idées et des conseils sur la lutte contre les attaques Zenbleed et Kubernetes.