吳明宜微軟研究人員發現,北韓國家駭客組織 Diamond Sleet 利用供應鏈攻擊手法,借用台灣影音播放軟體訊連科技的合法應用程式,散佈惡意檔案,以感染廣大消費者。
這個惡意檔案是駭客修改訊連應用程式的安裝器,加入惡意程式碼,再代管在訊連伺服器上,等待用戶在 PC 下載安裝,載入第二階段的程式。
微軟威脅情報研究人員指出,訊連應用程式的安裝器是以訊連公司的有效憑證簽發,而且由於代管理訊連自有的更新基礎架構上,包含簽章,可縮短執行時間空窗,並躲過安全軟體的偵測。
微軟指出,這波供應鏈攻擊影響 100 多台裝置,分散日本、台灣、加拿大及美國。研究人員推斷,攻擊最早從今年 10 月 20 日開始,但微軟尚未發現攻擊者已利用這些惡意版安裝器對消費者展開動攻擊。
這個惡意版安裝器內含名為 Lambload 的武裝化下載器。在用戶裝置中,它會先進行一系列檢查,以躲避在虛擬環境中執行,並判斷主機上是否存在特定安全軟體。它會特意避免攻擊有 FireEye 、 CrowdStrike 或 Tanium 解決方案保護的系統。
要是沒有碰上這些條件,惡意執行檔就會繼續執行訊連軟體,停止執行惡意程式碼。反之,它會造訪三個 URL 之一以下載冒充 PNG 檔內含的第二階段攻擊酬載(payload)。這部份酬載會在記憶體中執行,並連結被感染成 C2 伺服器的外部站點,以便攻擊者下達指令,或接受上傳的受害者系統資料。
Diamond Sleet 是北韓國家駭客組織,是在 Lazarus 駭客組織轄下活動,至少從 2013 年開始行動。微軟觀察到 Diamond Sleet 前後曾經感染過多種開原碼或私有軟體以攻擊資訊、國防和媒體業企業。
十月間,微軟警告親北韓威脅組織積極濫用 JetBrains TeamCity 的 CVSS 9.8 重大安全漏洞 CVE-2023-42793 。微軟判斷背後正是 Diamond Sleet 及 Onyx Sleet 。