CyberLinkはソフトウェア会社です。
動画再生、動画編集、写真編集などのジャンルの人気ソフトウェアを提供しています。
このCyberLinkのアプリのインストーラーに見えるマルウェアが拡散していることが確認されています。
この攻撃キャンペーンを展開しているのはDiamond Sleetという脅威アクターです。
どんなキャンペーンなのでしょうか。
- マルウェアを含むインストーラーの準備
まずは、マルウェアを含むインストーラーのファイルを作成します。
作成されたインストーラーは有効な証明書で署名されることで、実行時に警告が表示されることなく動作します。
この攻撃キャンペーンでは、CyberLinkの正規の証明書が使われました。
これにより、このインストーラーは、ある意味、本物となりました。 - 悪意あるインストーラーの配置
脅威アクターはCyberLinkの配布環境も侵害しています。
作成した悪意ある内容を含むインストーラーを、正規のCyberLinkの配布環境に配置します。 - 被害者が入手する
正規の方法で配布されていますので、入手してしまう人が一定数出てしまいました。
2023年11月22日時点では、100以上の配布がされてしまっていることが確認されています。 - 第一段階が仕事する
入手されたインストーラーを実行すると、第一段階が動作を開始します。
第一段階の悪意あるコードは、LambLoadとして追跡されています。
LambLoadはローダーです。
ローダーがローダーとしての仕事を実施する前に、いくつかの確認を行います。
マルウェアの動作環境の日時が事前設定された実行期間と一致しているか、CrowdStrike FalconとFireEyeとTanium EDRのプロセスがあるか、を確認します。 - 次の段階の活動
マルウェアの動作条件を満たしていることが確認できると、PNGファイルを模したファイルがダウンロードされます。
そして、PNGに含まれる内容を再構成し、メモリ内で悪意あるコードが実行されます。
CyberLinkのソフトウェアは人気があります。
利用したい人が人気のソフトウェアの本家のサイトから入手した正規の証明書で署名されたアプリケーションのインストーラーを入手します。
この部分に注目する限り、被害が出ていた当時、被害者にできることがあったのかはわかりません。
2023年11月22日時点では、この侵害された証明書は正規の証明書失効リストに追加されています。
機器を最新に保つなどの通常期待される運用に加えて、証明書失効リストが最新であるのかということも意識しましょうということなのでしょうか。
参考記事(外部リンク):Diamond Sleet supply chain compromise distributes a modified
CyberLink installer
www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- 【GitGuardian最新調査】2022年における重大なシークレット流出事案
- シークレットの流出・漏洩は、今や企業にとって大きなリスクです。GitHubなどのパブリックな開発環境は、多くの脅威アクター(サイバー犯罪グループなど)にとって、攻撃に有⽤なシーク...
-
サイバー領域
- 【2022年最新版】GitGuardianレポート公開
「The state of Secrets Sprawl 2022」 - GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...
- 【2022年最新版】GitGuardianレポート公開