Intuisi Blog – Peretas Korea Utara tampaknya memiliki banyak kesamaan dengan rekan-rekan mereka di Rusia, menyusul laporan tentang pelanggaran rantai pasokan yang signifikan yang serupa dengan peretasan Solarwinds yang terkenal pada tahun 2020.
Pakar keamanan Microsoft telah menyatakan bahwa Lazarus Group (AKA Diamond Sleet) adalah pelaku utama ancaman terkenal yang disponsori negara Korea Utara yang mampu membobol keamanan CyberLink, sebuah bisnis multimedia terkenal yang berlokasi di Taiwan.
Para peretas menggunakan hak istimewa mereka untuk memastikan bahwa salah satu penginstal CyberLink terinfeksi menggunakan malware dan menyebabkan perangkat lunak terinfeksi di mana pun perangkat lunak tersebut ditingkatkan.
LambLoad
Tanda-tanda pertama serangan terjadi pada akhir bulan Oktober 2023. Laporan Microsoft menyatakan, menunjukkan bahwa lebih dari 100 perangkat telah disusupi. Mereka berlokasi di seluruh dunia, di Jepang dan Taiwan hingga Kanada dan juga di Amerika Serikat.
“Diamond Sleet menggunakan sertifikat penandatanganan kode sah yang dikeluarkan untuk CyberLink Corp. untuk menandatangani executable berbahaya tersebut,” klaim perusahaan tersebut. “Sertifikat ini telah ditambahkan ke daftar sertifikat yang tidak diizinkan oleh Microsoft untuk melindungi pelanggan dari penggunaan sertifikat yang berbahaya di masa depan.”
Perusahaan yang mengunduh pembaruan yang terinfeksi virus akan dapat mengunduh LambLoad, pengunduh malware yang tidak kompatibel dengan perangkat yang dilindungi dari FireEye, CrowdStrike, atau Tanium, tambah Microsoft. Jika LambLoad tidak mendeteksi salah satu alat untuk melindungi titik akhir yang diinstal pada perangkat, LambLoad akan merilis file PNG palsu yang kemudian akan menyebarkan malware. Malware dapat mencuri informasi sensitif, menembus lingkungan pengembangan perangkat lunak, bergerak ke bawah, membuat akses permanen, dan banyak lagi.
Read more : Group Shadowy Hack-for-Hire Berada Dibalik Jaringan Serangan Siber Global Yang Luas
Setelah menemukan ancaman tersebut, Microsoft memberi tahu CyberLink dan Microsoft Defender mengenai klien Endpoint yang terkena dampak serangan tersebut. Itu juga ditandai ke GitHub di mana muatan tahap kedua dihapus.
CyberLink telah memproduksi perangkat lunak sejak tahun 1996, BleepingComputer mencatat telah terjual lebih dari 400 juta kopi di seluruh dunia. CyberLink masih menemui jalan buntu mengenai masalah ini karena tidak ada informasi yang diposting di situs redaksi mereka serta di akun Facebook atau Twitter.
Microsoft telah menerbitkan inventarisasi langkah-langkah mitigasi yang dapat ditemukan di halaman ini.
