A Microsoft Threat Intelligence szerint egy észak-koreai hackercsoport betört a CyberLink nevű tajvani multimédiás szoftvergyártó vállalathoz, és trójai vírussal fertőzte meg annak egyik telepítőjét. A CyberLink módosított telepítőfájljához köthető tevékenység már október 20-án felbukkant.
Ezt a trójai telepítőt a CyberLink tulajdonában lévő legitim frissítési infrastruktúrán tárolták, és eddig világszerte több mint 100 eszközön észlelték, többek között Japánban, Tajvanon, Kanadában és az Egyesült Államokban. Ezt, az ellátási láncot érintő támadást a Diamond Sleet-nek (más néven ZINC, Labyrinth Chollima és Lazarus), egy észak-koreai kiberkémkedő csoportnak tulajdonították.
A támadás vizsgálata során megfigyelt második lépcsős payload olyan infrastruktúrával lép kölcsönhatásba, amelyet a csoport korábban már kompromittált. A Diamond Sleet a CyberLink Corp. számára kiállított legitim kódaláíró tanúsítványt használta fel a rosszindulatú futtatható fájl aláírására, amely az ügyfelek védelme érdekében felkerült a Microsoft tiltott tanúsítványok listájára. A trójai szoftvereket és a kapcsolódó payload-okat LambLoad néven követik nyomon.
A LambLoad olyan rendszereket vesz célba, amelyek nem a FireEye, a CrowdStrike vagy a Tanium biztonsági szoftverek által védettek. Ha ezek a feltételek nem teljesülnek, a program a csomagban lévő rosszindulatú kód végrehajtása nélkül fut tovább. Ha azonban a kritériumok teljesülnek, a rosszindulatú szoftver három parancs- és vezérlő (C2) szerver egyikéhez csatlakozik, hogy egy álcázott PNGfájlba fájlba rejtett, második lépcsős payloadot töltsön le.
A Microsoft az ellátási láncot érintő támadás észlelése után tájékoztatta a CyberLinket, és értesíti a „Microsoft Defender for Endpoint” azon ügyfeleit is, akiket érintett a támadás. A támadást a GitHubnak is jelentette, amely a felhasználási irányelveknek megfelelően eltávolította a második lépcsőben szereplő payload-ot.
A CyberLink, amely 1996 óta készít multimédiás lejátszó és szerkesztő szoftvereket, saját bevallása szerint világszerte 400 millió példányban telepítették az alkalmazásait.
