Theo Microsoft, nhóm tin tặc Diamond Sleet (Zinc) đã thực hiện chiến dịch tấn công này. Trước đây, Diamond Sleet được biết đến là một nhánh của nhóm Lazarus khét tiếng, nhóm tin tặc này đã tiến hành các cuộc tấn công nhằm đánh cắp dữ liệu, gián điệp, phá hủy và thu lợi tài chính.
Các nhà nghiên cứu của công ty tình báo mối đe dọa mạng Mandiant thuộc sở hữu của Google đã lưu ý vào tháng trước: “Mục tiêu của Diamond Sleet là thu thập thông tin tình báo chiến lược và nhắm vào các tổ chức chính phủ, quốc phòng, viễn thông và tài chính trên toàn thế giới.”
Gã khổng lồ công nghệ cho biết gần đây Diamond Sleet đã nhắm mục tiêu vào CyberLink Corp, một công ty phần mềm có trụ sở tại Đài Loan chuyên về các ứng dụng chỉnh sửa âm thanh, video và ảnh.
Các tin tặc đã xâm phạm hệ thống của công ty và sửa đổi trình cài đặt ứng dụng hợp pháp. Chúng đã thêm mã độc được thiết kế để tải xuống, giải mã và tải payload giai đoạn hai. Phiên bản độc hại của trình cài đặt đã được ký bằng chứng chỉ CyberLink hợp lệ và được lưu trữ trên cơ sở hạ tầng cập nhật do công ty này sở hữu, đồng thời bao gồm các bước kiểm tra để giới hạn khoảng thời gian thực thi và bỏ qua sự phát hiện của các sản phẩm bảo mật.
Microsoft bắt đầu nhận thấy hoạt động liên quan đến trình cài đặt độc hại này vào ngày 20/10, chiến dịch này ước tính đã tác động đến hơn 100 thiết bị trên khắp Nhật Bản, Đài Loan, Canada và Mỹ.
Công ty theo dõi phần mềm độc hại dưới dạng LambLoad. Mối đe dọa này được thiết kế để kiểm tra máy chủ bị xâm nhập xem có phần mềm bảo mật từ CrowdStrike, FireEye và Tanium hay không trước khi thực thi mã độc - chỉ ứng dụng CyberLink hợp pháp mới được chạy nếu phát hiện thấy các sản phẩm bảo mật đó.
Microsoft lưu ý rằng các tin tặc được biết đến là có khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân, xâm phạm môi trường xây dựng phần mềm, chuyển tiếp sang các nạn nhân khác và thiết lập quyền truy cập liên tục. Đồng thời, hãng cũng đã cung cấp các chỉ báo liên quan về sự xâm phạm (IoC) để giúp các tổ chức có thể phát hiện hoạt động của Diamond Sleet trên mạng của họ.
Tháng trước, Microsoft cũng cáo buộc Diamond Sleet khai thác lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9,8) để xâm phạm các máy chủ dễ bị tấn công và triển khai một backdoor có tên ForestTiger.
Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm do các tác nhân đe dọa Triều Tiên thực hiện nhắm vào 3CX, MagicLine4NX, JumpCloud và CyberLink cho thấy sự cảnh báo về mức độ phức tạp và tần suất ngày càng tăng của các cuộc tấn công như vậy, kêu gọi các tổ chức áp dụng các biện pháp an ninh nhằm giảm thiểu khả năng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Các tin tặc đã lợi dụng các lỗ hổng zero-day và khai thác trong phần mềm của bên thứ ba để có quyền truy cập vào các mục tiêu cụ thể hoặc các tổ chức thông qua chuỗi cung ứng của họ”.