Привет из Северной Кореи: группа Lazarus взломала компанию CyberLink, но пока не спешит действовать

Привет из Северной Кореи: группа Lazarus взломала компанию CyberLink, но пока не спешит действовать

Что же они задумали?

image

Хакеры из Северной Кореи взломали тайваньскую компанию CyberLink, известного производителя мультимедийного ПО. Злоумышленники внедрили вредоносный код в один из инсталляторов CyberLink, распространяемый через официальные каналы обновления. Это позволило заразить более 100 компьютеров по всему миру, в том числе в США, Канаде и Японии.

По данным Microsoft, за атакой стоит группировка Lazarus, также известная как ZINC и Labyrinth Chollima. Она специализируется на кибершпионаже и, вероятно, действует в интересах правительства, уже более 10 лет нацеливаясь на крупные международные компании.

В продукт CyberLink было внедрено ПО под названием LambLoad. После запуска инсталлятора на компьютере LambLoad проверяет наличие в системе таких антивирусов, как CrowdStrike, FireEye и Tanium. Если они не обнаружены, программа подключается к одному из трех командных серверов и загружает следующую стадию вредоноса.

Вторая стадия маскируется под PNG-файл, внутри которого вместо изображения содержится зловредный код. LambLoad выгружает его, расшифровывает и запускает на выполнение. Таким образом угроза минует файловую систему, что затрудняет её обнаружение и устранение.

По словам Microsoft, такая техника очень характерна для Lazarus. Они особенно часто используют похожие методы в атаках на криптовалютные сервисы. Группировка стоит за крупнейшим в истории киберинциденте с криптовалютой в 2022 году - тогда с блокчейна Ronin Network было похищено цифровых активов на 2 миллиарда долларов.

Пока команда Microsoft не обнаружила признаков активности хакеров на зараженных машинах. Но обычно Lazarus использует свое ПО именно для кибершпионажа, оставаясь в системе в течение длительного времени после взлома. Поэтому можно предположить, что они пользуются ситуацией для сбора ценных данных и подготовки к будущим атакам.

Группировке приписывают такие громкие кибератаки, как взлом Sony Pictures в 2014 году и распространение вымогателя WannaCry, нанесшего ущерб на сотни миллионов долларов в 2017 году.

Правительство США неоднократно вводило санкции против Lazarus и двух других хакерских групп из Северной Кореи - Bluenoroff и Andariel. Сейчас за любую информацию об их деяниях обещано вознаграждение до 5 миллионов долларов.

Что касается текущей атаки, Microsoft проинформировала CyberLink о взломе их инфраструктуры и помогла устранить уязвимость. Также пользователям антивируса Defender были разосланы предупреждения об угрозе.

Пока неясно, удалось ли хакерам похитить какие-либо конфиденциальные данные или нанести другой ущерб CyberLink и ее клиентам. Однако учитывая масштабы инцидента, последствия могут быть серьезными.

CyberLink пока не дает комментариев журналистам.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!