Categories: Cybersicherheit

Angriff auf die Lieferkette: Hacker modifizieren Software-Installer von CyberLink

Microsoft Threat Intelligence hat einen neuen Angriff auf die Lieferkette aufgedeckt. Ziel ist die Softwarefirma CyberLink und deren Multimediaanwendungen. Hinter der Attacke soll eine als Diamond Sleet oder ZINC bezeichnete Gruppe stecken, die Microsoft zufolge von Nordkorea aus agiert.

Den Hackern ist es demnach gelungen, in die Update-Infrastruktur von CyberLink einzudringen. Dort versteckten sie einen modifizierten Anwendungs-Installer. Die Datei war mir einem gültigen Zertifikat signiert, ausgestellt von CyberLink Corp. Zudem wurde er über die von CyberLink betriebene Update-Infrastruktur verteilt.

Der Installer enthielt Schadcode, um weitere Schadsoftware herunterzuladen und zu entschlüsseln. Um eine Entdeckung durch Sicherheitssoftware zu erschweren, enthält die Datei Prüfungen, um das Zeitfenster für eine Ausführung zu begrenzen. Bisher soll die Malware mehr als 100 Geräte weltweit kompromittiert haben, unter anderem in Japan, Taiwan, Kanada und den USA.

Microsoft ordnet die Malware der Gruppe Diamond Sleet zu, weil sie mit einer Infrastruktur kommuniziert, die zuvor durch Diamond Sleet kompromittiert wurde. Zudem soll der Angriff zur aktuellen Taktik der Gruppe passen, die zuletzt malwareverseuchte Versionen von Open-Source- und proprietärer Software nutzt, um Organisationen in den Branchen IT, Medien und Rüstung anzugreifen.

CyberLink wurde von Microsoft inzwischen über den Vorfall informiert. Zudem wurden Kunden Microsoft Defender for Endpoint kontaktiert, die das Ziel dieser Kampagne waren. Darüber hinaus hat Microsoft das für die Signierung des falschen Installers benutzt Zertifikat gesperrt. Auch von Microsoft Defender Antivirus in der Lage sein, die Malware als Trojaner:Win32/LambLoad zu identifizieren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

10 Stunden ago

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

12 Stunden ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

19 Stunden ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

1 Tag ago

Datengetriebene Geschäftsmodelle noch immer Mangelware

Ungeachtet dessen erwartet die Hälfte der deutschen Unternehmen eine Trendwende in den kommenden zwei Jahren.

2 Tagen ago

Analyse: Jeder fünfte Cyberangriff dauert länger als 30 Tage

Gleichzeitig glauben 40 Prozent der deutschen IT-Entscheider, dass ihre Teams Cybergefahren nicht richtig einschätzen können.

2 Tagen ago