Северокорейские хакеры взломали CyberLink

Согласно заявлению Microsoft, северокорейская хакерская группировка Lazarus взломала внутреннюю ИТ-инфраструктуру компании CyberLink, сообщает Bleeping Computer. Злоумышленники заразили трояном установщика программного обеспечения. Это позволило хакерам внедрить вредоносное ПО на компьютеры пользователей по всему миру. 

Специалисты по информационной безопасности (ИБ) из Microsoft Threat Intelligence рассказывают, что впервые активность Lazarus, связанная с модифицированным установочным файлом CyberLink, была зафиксирована 20 октября 2023 года. Так, зараженный установщик был размещен в официальной ИT-инфраструктуре обновлений пострадавшей компании. 

В итоге скаченное вредоносное ПО было обнаружено более чем на 100 устройствах по всему миру, включая пользователей в США, Канаде, Тайване, Японии и других странах. 

Эксперты по ИБ отмечают, что северокорейские хакеры часто проводят подобные атаки на цепочки поставок, чтобы заразить легальное ПО троянами. Они же, в свою очередь, после используются для кражи криптовалютных активов у пользователей, которые скачивают зараженное ПО с официальных сайтов разработчиков. 

В частности, в рамках этой атаки распространялось вредоносное ПО под названием LambLoad, способное красть персональные данные, проникать в среду сборки программного обеспечения и устанавливать постоянный доступ к средам жертв. 

Российские аналитики в то же время изучают, как ведут себя хакеры. Так, по данным ГК «Солар», хакеры снизили количество и мощность адресных DDoS-атак на отдельные организации и перешли на массовые атаки, в частности – в Москве и на Урале. Например, если сравнивать число атак в III квартале со II кварталом 2023 года, то оно выросло в два раза (до 41 тыс. в месяц), а средняя мощность снизилась почти в 4,5 раза (до 0,6 Гбит/c). Это означает, что злоумышленники стали меньше времени и внимания уделять точечным атакам на конкретные организации, теперь их цель – атаковать как можно больше российских компаний.