Cyber​​LinkじゃなくてDiamond Sleet

ほぼこもセキュリティニュース By Terilogy Worx

CyberLinkはソフトウェア会社です。
動画再生、動画編集、写真編集などのジャンルの人気ソフトウェアを提供しています。
このCyberLinkのアプリのインストーラーに見えるマルウェアが拡散していることが確認されています。
この攻撃キャンペーンを展開しているのはDiamond Sleetという脅威アクターです。
どんなキャンペーンなのでしょうか。

  • マルウェアを含むインストーラーの準備
    まずは、マルウェアを含むインストーラーのファイルを作成します。
    作成されたインストーラーは有効な証明書で署名されることで、実行時に警告が表示されることなく動作します。
    この攻撃キャンペーンでは、CyberLinkの正規の証明書が使われました。
    これにより、このインストーラーは、ある意味、本物となりました。
  • 悪意あるインストーラーの配置
    脅威アクターはCyberLinkの配布環境も侵害しています。
    作成した悪意ある内容を含むインストーラーを、正規のCyberLinkの配布環境に配置します。
  • 被害者が入手する
    正規の方法で配布されていますので、入手してしまう人が一定数出てしまいました。
    2023年11月22日時点では、100以上の配布がされてしまっていることが確認されています。
  • 第一段階が仕事する
    入手されたインストーラーを実行すると、第一段階が動作を開始します。
    第一段階の悪意あるコードは、LambLoadとして追跡されています。
    LambLoadはローダーです。
    ローダーがローダーとしての仕事を実施する前に、いくつかの確認を行います。
    マルウェアの動作環境の日時が事前設定された実行期間と一致しているか、CrowdStrike FalconとFireEyeとTanium EDRのプロセスがあるか、を確認します。
  • 次の段階の活動
    マルウェアの動作条件を満たしていることが確認できると、PNGファイルを模したファイルがダウンロードされます。
    そして、PNGに含まれる内容を再構成し、メモリ内で悪意あるコードが実行されます。

CyberLinkのソフトウェアは人気があります。
利用したい人が人気のソフトウェアの本家のサイトから入手した正規の証明書で署名されたアプリケーションのインストーラーを入手します。
この部分に注目する限り、被害が出ていた当時、被害者にできることがあったのかはわかりません。

2023年11月22日時点では、この侵害された証明書は正規の証明書失効リストに追加されています。
機器を最新に保つなどの通常期待される運用に加えて、証明書失効リストが最新であるのかということも意識しましょうということなのでしょうか。

参考記事(外部リンク):Diamond Sleet supply chain compromise distributes a modified
CyberLink installer

www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/