מיקרוסופט מזהירה את CyberLink מפני איום סייבר צפון קוריאני

This post is also available in: English (אנגלית)

מיקרוסופט הזהירה את חברת התוכנה CyberLink בנוגע לשימוש לרעה בתוכנה שלה על ידי הקבוצה הצפון קוריאנית "Diamond Sleet", כנופיית סייבר שככל הנראה הזרימה קוד זדוני לתוכנית ובכך הדביקה יותר ממאה מטרות.

חברת CyberLink מתארת את האיום כ-"מוריד ומעמיס "נשק" המכיל קוד זדוני שהתווסף ליישום CyberLink לגיטימי". על פי מיקרוסופט, שיטה זו שימשה לתקיפת מטרות ביפן, טייוואן, קנדה וארה"ב.

על פי אתר Cybernews, קובץ זדוני זה הוא מתקין יישומים לגיטימי של CyberLink ששונה לכך שיכלול קוד זדוני שמוריד, מפענח וטוען מטען שלב שני. הקובץ הוטבע בתשתית העדכונים הלגיטימיים של החברה וכולל תכונות המאפשרות לו להתחמק מגילוי על ידי תוכניות אבטחת סייבר.

מיקרוסופט אמרה כי יש לה "בטחון גבוה" כי הקמפיין קשור לגורם האיום הצפון קוריאני המכונה "Diamond Sleet", וציינה כי וקטור ההתקפה נושא את הסימנים המזהים של אחד ששימש בהתקפה קודמת הקשורה לקבוצה, באומרה כי- "מטען השלב השני שנצפה בקמפיין מתקשר עם תשתיות שנחשפו בעבר על ידי Diamond Sleet".

על פי מיקרוסופט, Diamond Sleet, הידוע בעבר בשם ZINC, מונע על ידי רווח ומתמקד בריגול, גניבת נתונים אישיים וארגוניים וחבלה ברשת.

החברה גם ראתה את הכנופייה משתמשת ב"תוכנות קוד פתוח ותוכנות קנייניות טרויניות" נגד ארגוני IT, הגנה ותקשורת. מיקרוסופט טוענת כי הודיעה ל-CyberLink על הבעיה, וגם דיווחה על כך ל-GitHub אשר הסירו את חלק המטען המשני של הקוד הזדוני של Diamond Sleet מהפורום שלה.

תוכנת Defender for Endpoint של החברה עודכנה כדי לסמן את הקמפיין כפעילות זדונית המיוחסת לקבוצה הצפון קוריאנית.