Привет из Северной Кореи: группа Lazarus взломала компанию CyberLink, но пока не спешит действовать

Хакеры из Северной Кореи взломали тайваньскую компанию CyberLink, известного производителя мультимедийного ПО. Злоумышленники внедрили вредоносный код в один из инсталляторов CyberLink, распространяемый через официальные каналы обновления. Это позволило заразить более 100 компьютеров по всему миру, в том числе в США, Канаде и Японии.

По данным Microsoft, за атакой стоит группировка Lazarus, также известная как ZINC и Labyrinth Chollima. Она специализируется на кибершпионаже и, вероятно, действует в интересах правительства, уже более 10 лет нацеливаясь на крупные международные компании.

В продукт CyberLink было внедрено ПО под названием LambLoad. После запуска инсталлятора на компьютере LambLoad проверяет наличие в системе таких антивирусов, как CrowdStrike, FireEye и Tanium. Если они не обнаружены, программа подключается к одному из трех командных серверов и загружает следующую стадию вредоноса.

Вторая стадия маскируется под PNG-файл, внутри которого вместо изображения содержится зловредный код. LambLoad выгружает его, расшифровывает и запускает на выполнение. Таким образом угроза минует файловую систему, что затрудняет её обнаружение и устранение.

По словам Microsoft, такая техника очень характерна для Lazarus. Они особенно часто используют похожие методы в атаках на криптовалютные сервисы. Группировка стоит за крупнейшим в истории киберинциденте с криптовалютой в 2022 году - тогда с блокчейна Ronin Network было похищено цифровых активов на 2 миллиарда долларов.

Пока команда Microsoft не обнаружила признаков активности хакеров на зараженных машинах. Но обычно Lazarus использует свое ПО именно для кибершпионажа, оставаясь в системе в течение длительного времени после взлома. Поэтому можно предположить, что они пользуются ситуацией для сбора ценных данных и подготовки к будущим атакам.

Группировке приписывают такие громкие кибератаки, как взлом Sony Pictures в 2014 году и распространение вымогателя WannaCry, нанесшего ущерб на сотни миллионов долларов в 2017 году.

Правительство США неоднократно вводило санкции против Lazarus и двух других хакерских групп из Северной Кореи - Bluenoroff и Andariel. Сейчас за любую информацию об их деяниях обещано вознаграждение до 5 миллионов долларов.

Что касается текущей атаки, Microsoft проинформировала CyberLink о взломе их инфраструктуры и помогла устранить уязвимость. Также пользователям антивируса Defender были разосланы предупреждения об угрозе.

Пока неясно, удалось ли хакерам похитить какие-либо конфиденциальные данные или нанести другой ущерб CyberLink и ее клиентам. Однако учитывая масштабы инцидента, последствия могут быть серьезными.

CyberLink пока не дает комментариев журналистам.