{"id":899001,"date":"2023-11-24T14:52:59","date_gmt":"2023-11-24T14:52:59","guid":{"rendered":"https:\/\/magazineoffice.com\/hackers-respaldados-por-corea-del-norte-apuntan-a-usuarios-de-cyberlink-en-un-ataque-a-la-cadena-de-suministro\/"},"modified":"2023-11-24T14:53:03","modified_gmt":"2023-11-24T14:53:03","slug":"hackers-respaldados-por-corea-del-norte-apuntan-a-usuarios-de-cyberlink-en-un-ataque-a-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/hackers-respaldados-por-corea-del-norte-apuntan-a-usuarios-de-cyberlink-en-un-ataque-a-la-cadena-de-suministro\/","title":{"rendered":"Hackers respaldados por Corea del Norte apuntan a usuarios de CyberLink en un ataque a la cadena de suministro"},"content":{"rendered":"
\n<\/p>\n
Los piratas inform\u00e1ticos respaldados por el Estado norcoreano est\u00e1n distribuyendo una versi\u00f3n maliciosa de una aplicaci\u00f3n leg\u00edtima desarrollada por CyberLink, un fabricante de software taiwan\u00e9s, para apuntar a clientes intermedios.<\/p>\n
El equipo de Inteligencia de Amenazas de Microsoft dijo el mi\u00e9rcoles que piratas inform\u00e1ticos norcoreanos hab\u00edan comprometido CyberLink para distribuir un archivo de instalaci\u00f3n modificado de la compa\u00f1\u00eda como parte de un ataque de amplio alcance a la cadena de suministro. <\/span><\/p>\n CyberLink es una empresa de software con sede en Taiw\u00e1n que desarrolla software multimedia, como PowerDVD, <\/span>y tecnolog\u00eda de reconocimiento facial AI. Seg\u00fan el sitio web de la empresa, CyberLink posee m\u00e1s de 200 tecnolog\u00edas patentadas y ha distribuido m\u00e1s de 400 millones de aplicaciones en todo el mundo. <\/span><\/p>\n Microsoft dijo que observ\u00f3 actividad sospechosa asociada con el instalador CyberLink modificado, rastreado por la compa\u00f1\u00eda como \u201cLambLoad\u201d, ya el 20 de octubre de 2023. <\/span>Hasta ahora ha detectado el instalador troyanizado en m\u00e1s de 100 dispositivos en varios pa\u00edses, incluidos Jap\u00f3n, Taiw\u00e1n, Canad\u00e1 y Estados Unidos.<\/p>\n El archivo est\u00e1 alojado en una infraestructura de actualizaci\u00f3n leg\u00edtima propiedad de CyberLink, seg\u00fan Microsoft, y los atacantes utilizaron un certificado de firma de c\u00f3digo leg\u00edtimo emitido a CyberLink para firmar el ejecutable malicioso, seg\u00fan Microsoft. <\/span>\u00abEste certificado se ha agregado a la lista de certificados no permitidos de Microsoft para proteger a los clientes de futuros usos maliciosos del certificado\u00bb, dijo el equipo de Threat Intelligence de Microsoft.<\/p>\n La compa\u00f1\u00eda se\u00f1al\u00f3 que una carga \u00fatil de la segunda fase observada en esta campa\u00f1a interact\u00faa con la infraestructura previamente comprometida por el mismo grupo de actores de amenazas.<\/p>\n Microsoft ha atribuido este ataque con \u201calta confianza\u201d a un grupo al que rastrea como Diamond Sleet, un actor-estado-naci\u00f3n de Corea del Norte vinculado al notorio grupo de hackers Lazarus. Se ha observado que este grupo apunta a organizaciones de tecnolog\u00eda de la informaci\u00f3n, defensa y medios de comunicaci\u00f3n. Y se centra predominantemente en el espionaje, las ganancias financieras y la destrucci\u00f3n de redes corporativas, seg\u00fan Microsoft. <\/span><\/p>\n Microsoft dijo que a\u00fan no ha detectado actividad pr\u00e1ctica en el teclado, pero se\u00f1al\u00f3 que los atacantes de Diamond Sleet com\u00fanmente roban datos de sistemas comprometidos, se infiltran en entornos de creaci\u00f3n de software, avanzan hacia abajo para explotar a m\u00e1s v\u00edctimas e intentan obtener acceso persistente a los entornos de las v\u00edctimas.<\/p>\n Microsoft dijo que notific\u00f3 a CyberLink sobre el compromiso de la cadena de suministro, pero no dijo si hab\u00eda recibido una respuesta o si CyberLink hab\u00eda tomado alguna medida a la luz de los hallazgos de la compa\u00f1\u00eda. La compa\u00f1\u00eda tambi\u00e9n est\u00e1 notificando a los clientes de Microsoft Defender for Endpoint que se vieron afectados por el ataque.<\/p>\n