Microsoft: Lazarus-hackers verspreiden malafide versie van CyberLink-software

Het Threat Intelligence-team van Microsoft heeft ontdekt dat een Noord-Koreaanse hackersgroep een malafide versie van een legitieme applicatie van de Taiwanese softwarefabrikant CyberLink verspreidt. De groep zou hiervoor een supplychainaanval hebben uitgevoerd.

Volgens Microsoft gaat het om de Noord-Koreaanse groep Diamond Sleet, beter bekend als Lazarus. Deze groep zou erin geslaagd zijn om een officieel installatiebestand van CyberLink te modificeren door er de malafide Lambload-executable aan toe te voegen. Om welke CyberLink-applicatie het gaat, zegt het Threat Intelligence-team niet. In de Indicators of Compromise wordt echter de video- en fotobewerkingssoftware Promeo vermeld.

Het bestand wordt volgens Microsoft op de legitieme update-infrastructuur van CyberLink gehost en is ondertekend met een geldig CyberLink-certificaat. Microsoft heeft laatstgenoemde toegevoegd aan zijn lijst niet-toegestane certificaten, 'zodat klanten in de toekomst beschermd worden tegen schadelijk gebruik'.

Als gebruikers de software met de kwaadaardige code binnenhalen, kijkt Lambload eerst of de host gebruikmaakt van een gevirtualiseerde omgeving en controleert het de aanwezigheid van specifieke beveiligingssoftware: FireEye, CrowdStrike of Tanium. Als de gebruiker een van deze drie of een gevirtualiseerde omgeving gebruikt, wordt verder geen malafide code uitgevoerd. Zo niet, dan wordt een aanvullende payload gedownload en uitgevoerd om het systeem te besmetten.

Microsoft stelt dat het de schadelijke installer op meer dan honderd apparaten heeft aangetroffen. Er is echter nog geen 'hands-on-keyboard'-activiteit ontdekt na een aanval via deze malware, stelt het bedrijf. Wat het doel van de CyberLink-malware is, is dus nog niet helemaal duidelijk. Wel heeft de Lazarus-hackersgroep volgens Microsoft in het verleden meermaals gevoelige gegevens gestolen van aangevallen apparaten en 'softwarebuildomgevingen' gecompromitteerd. Microsoft zegt CyberLink op de hoogte te hebben gesteld van deze aanval. Er wordt echter niet vermeld wat de reactie van het bedrijf is en of er actie wordt ondernomen.

Door Kevin Krikhaar

Redacteur

Feedback • 23-11-2023 15:40
12 • submitter: Anonymoussaurus

23-11-2023 • 15:40

12

Submitter: Anonymoussaurus

Lees meer

FBI linkt Noord-Koreaanse hackers aan diefstal van 4500 bitcoins van Bitcoin DMM
FBI linkt Noord-Koreaanse hackers aan diefstal van 4500 bitcoins van Bitcoin DMM Nieuws van 25 december 2024
Microsoft: VS moet harder optreden tegen cyberaanvallen uit China en Rusland
Microsoft: VS moet harder optreden tegen cyberaanvallen uit China en Rusland Nieuws van 25 november 2024
Microsoft gaat privé en zakelijke Teams-versies samenvoegen tot één app
Microsoft gaat privé en zakelijke Teams-versies samenvoegen tot één app Nieuws van 15 maart 2024
Lazarus-hackers richten zich op IT'ers met Linux-malware verhuld als vacature
Lazarus-hackers richten zich op IT'ers met Linux-malware verhuld als vacature Nieuws van 21 april 2023
ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver
ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver Nieuws van 30 september 2022
Axie Infinity-spelers kunnen weer transacties doen na eerdere hack
Axie Infinity-spelers kunnen weer transacties doen na eerdere hack Nieuws van 29 juni 2022
Pc's met recente Intel-cpu's kunnen via PowerDVD geen uhd-blu-rays afspelen
Pc's met recente Intel-cpu's kunnen via PowerDVD geen uhd-blu-rays afspelen Nieuws van 17 januari 2022
Amerikaanse rechter: Google maakte inbreuk op patenten van Sonos
Amerikaanse rechter: Google maakte inbreuk op patenten van Sonos Nieuws van 14 augustus 2021
CyberLink brengt PowerDVD 17 voor afspelen uhd-blu-ray op pc uit
CyberLink brengt PowerDVD 17 voor afspelen uhd-blu-ray op pc uit Nieuws van 11 april 2017
Meer producten en artikelen
Beveiliging en antivirus Cyberlink Microsoft Cybercrime Malware Noord-korea

Reacties (12)

-Moderatie-faq
12
12
8
1
0
1
Wijzig sortering
HenkEisDS 23 november 2023 16:21
Wat is er zo speciaal aan FireEye, CrowdStrike of Tanium? Of zijn dat in de ogen van Lazarus de enige partijen die hun malware goed kunnen analyseren?

https://en.wikipedia.org/wiki/Trellix (formerly FireEye and McAfee Enterprise)
https://en.wikipedia.org/wiki/CrowdStrike
https://en.wikipedia.org/wiki/Tanium
Ik lees hier verder niets speciaal over deze 3 partijen, behalve dat ze schijnbaar goed zijn in hun werk.
Warbringer @HenkEisDS23 november 2023 17:11
twee mogelijkheden:
1) Lazarus heeft een specifieke organisatie als slachtoffer voor ogen waarvan ze weten dat die organisatie deze software (Promeo) gebruiken. Ze weten ook welke EDR-technologie hun slachtoffer gebruikt en dat is niet FireEye/Trellix, Crowdstrike of Tanium. Ze willen dan niet persé andere organisaties besmetten om zo hun risico op ontdekking te minimaliseren zodat de kans van slagen op het infecteren van hun echte slachtoffer beter is.

2) De malware heeft geen evasion voor de EDR van FireEye/Trellix, Crowdstrike of Tanium en "geeft op" wanneer het deze detecteert maar bijvoorbeeld wel voor MDE. Op het moment dat de malware dus op endpoints terecht komt waar Microsoft Defender for Endpoints draait, dan weet de malware deze te omzeilen/uitschakelen en kan de malware ongestoord zijn ding doen.

Beide zijn slechts mogelijkheden en zonder de malware verder te reverse engineeren is er niks met zekerheid te zeggen maar het zijn wel redelijke opties.
Dark Angel 58 23 november 2023 15:48
CyberLink, is dat niet van CD/DVD player software makers?
Phenex @Dark Angel 5823 november 2023 15:50
Zo zat ik ook te denken, blijkbaar hebben ze hele suites van software dus ook de cd dvd tak.
zap8 @Phenex23 november 2023 17:23
Cyberlink Powerdirector is een van de populairste video edit programma's op Android en iOS. Is eenvoudig editten en blijkt bovendien extreem goed geoptimaliseerd te zijn waardoor het vaak sneller kan renderen dan de concurrentie.
Llopigat
@zap824 november 2023 04:27
Maar deze software kan niet het doelwit zijn want de genoemde antivirus software bijv. crowdstrike bestaat niet voor Android en iOS.
zipje_en_zopje @Llopigat24 november 2023 14:16
Powerdirector is ook erg populair op PC, niet dezelfde grootorde als op Android maar toch nog een grote userbase. Dankzij een prijs die dikwijls met kortingen wordt verlaagd, het feit dat de software soms wordt meegeleverd met consumentencamera's en dat het wel eens voorgeïnstalleerd staat op OEM-PCs. Ik heb het vroeger zelf nog gebruikt om de tweede reden. Het is een nogal simplistisch stuk software, maar soms volstaat dat (en is het sneller) als het maar om een simpele bewerking gaat.
OruBLMsFrl 23 november 2023 15:54
Het bestand wordt volgens Microsoft op de legitieme update-infrastructuur van CyberLink gehost en is ondertekend met een geldig CyberLink-certificaat.
Dit is wel heel eng, in combinatie met hoe lang het daar dan al heeft moeten staan ter download voordat Microsoft er honderd slachtoffers van doorkrijgt in allerlei landen. Het zou op zijn best nog kunnen meevallen dat stom genoeg één senior releases medewerker die ze gehacked hebben dat zelf allemaal mocht doen. Ben heel benieuwd naar de verdere analyse van dit incident.

[Reactie gewijzigd door OruBLMsFrl op 23 juli 2024 18:51]

OldSchoolPhoto @OruBLMsFrl23 november 2023 16:18
De Lazarus groep is eng, heeft de BBC een mooie podcast over.
Scriptkid @OruBLMsFrl23 november 2023 16:21
Kwestie van geld offeren zeker in bepaalde landen is een miljoen veel geld.

Zelfde als het space x geval waar medewerkers getracht waren over te kopen voor access.
Patrickccc 23 november 2023 18:39
Waarom Lazarus?Uit de dood gewekt?
Cis @Patrickccc23 november 2023 18:44
Inderdaad ^^ . Dan moet je wel stromdronken zijn

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq