Vulnerabilidades en cadenas de suministros mediante la distribución de instaladores legítimos

En los últimos días, el departamento de Inteligencia de Microsoft frente amenazas ha revelado una serie de vulnerabilidades en cadenas de suministros por parte de Diamond Sleet (denominado anteriormente ZINC), un agente amenazante establecido en Corea del Norte que involucra una variante maliciosa de una aplicación desarrollada por la corporación CyberLink, una empresa de software que desarrolla productos de software multimedia.

Este archivo malicioso es una aplicación de instalación legítima de CyberLink que ha sido modificada para incluir código malicioso que descarga, desencripta y soporta una segunda versión de carga. El archivo, habiéndose firmado mediante una certificación válida emitida por CyberLink, se aloja en una infraestructura actualizada legítima propiedad de CyberLink e incluye comprobaciones para limitar el tiempo en que se ejecuta una ventana, pudiendo evadirse la detectión por parte de productos de seguridad.

Hasta el momento, esta actividad maliciosa concreta en un tipo de vulnerabilidad de la cadena de suministros ha tenido impacto en más de un centenar de dispositivos en países como Japón, Taiwán, Canada o Estados Unidos.

Microsoft atribuye esta actividad al agente amenazante norcoreano Diamond Sleet. La segunda versión de carga que se observa en esta campaña se comunica con la infraestructura que previamente ha sido comprometida por Diamond Sleet. Más recientemente, se ha tenido constancia de la utilización por parte de Diamond Sleet de un software libre registrado troyanizado que apunta a organizaciones relativas a información tecnológica, defensa y medios de comunicación.

¿Quién es Diamond Sleet?

El actor monitorizado como Diamond Sleet (anteriormente ZINC) es un grupo establecido en Corea del Norte cuya actividad apunta industrias de información tecnológica, defensa y medios de comunicación a nivel mundial. Diamond Sleet se centra en el espionaje, robo de datos corporativos y personales, beneficios financieros y destrucción de redes corporativas. Asimismo, Diamond Sleet es conocido por el uso de malware personalizado exclusivo a este grupo.

El malware reciente de Diamond Sleet se ha descrito en los informes de Microsoft sobre el software de código abierto que el grupo ha convertido en un arma que utiliza para explotar de vulnerabilidades en las cadenas de suministros en días determinados.

Ante este tipo de vulnerabilidades en cadenas de suministros emerge la importancia de contar con soluciones avanzadas de seguridad que permitan detectar patrones anómalos de comportamiento (EDR, conocida por sus siglas en inglés).

En concreto, en la protección frente a ciberamenazas, es relevante la protección avanzada del puesto de trabajo o endpoint (dispositivo informático conectado a una red: equipos de escritorio, portátiles y dispositivos móviles.), a través de la detección y respuesta extendida de amenazas avanzadas.

Tenemos la solución que tu negocio necesita. Ponte en contacto ahora.

Enviar