# CyberLink Supply Chain Attack 2023 - Diamond Sleet > [!high] Diamond Sleet compromete atualização da CyberLink para espionagem em 100+ dispositivos > Em outubro de 2023, o grupo norte-coreano Diamond Sleet comprometeu o servidor de atualização da CyberLink Corp. (fabricante taiwanesa de software multimídia) para distribuir uma versão trojanizada do instalador Promeo assinada com certificado legítimo. O ataque atingiu mais de 100 dispositivos no Japão, Taiwan, Canadá e EUA, parte de uma série de ataques de cadeia de fornecedores do Lazarus em 2023. ## Visão Geral O ataque à cadeia de fornecedores da CyberLink em outubro-novembro de 2023 representa mais um elo em uma série de operações norte-coreanas de comprometimento de software legítimo: o [[g0032-lazarus-group|Diamond Sleet]] (também rastreado como ZINC, e subgrupo do [[g0032-lazarus-group|Lazarus Group]]) modificou o instalador do aplicativo **Promeo** (um software de edição de vídeo) para incluir um downloader malicioso denominado **LambLoad**. O que torna este ataque técnicamente significativo é a combinação de fatores evasivos: o instalador comprometido foi **assinado com um certificado legítimo da CyberLink Corp.** e hospedado na **infraestrutura de atualização oficial da CyberLink** - tornando-o práticamente indistinguível de uma atualização legítima para a maioria dos sistemas de segurança baseados em reputação. O LambLoad executava verificações anti-sandbox antes de qualquer ação maliciosa: se detectasse software de segurança da CrowdStrike, FireEye ou Tanium, abortava a execução e continuava como um instalador normal. A fase de download do segundo estágio era igualmente sofisticada: o LambLoad buscava um "arquivo PNG" hospedado em plataformas legítimas (incluindo GitHub e um site legítimo comprometido), mas o arquivo continha um payload executável embutido dentro de um cabeçalho PNG falso - uma técnica de ocultação em "políglotas de arquivo" que dificulta a detecção por sistemas de análise de tráfego. A Microsoft detectou e reportou o ataque à CyberLink em 22 de novembro de 2023, tendo o certificado comprometido adicionado à lista de certificados não confiáveis do Windows. O GitHub removeu o segundo payload. A CyberLink confirmou o incidente e informou que apenas o instalador do Promeo foi afetado, não outros produtos como PowerDVD ou PhotoDirector. ## Attack Flow ```mermaid graph TB A["Comprometimento CyberLink<br/>Servidor de atualização Promeo<br/>Acesso não autorizado ao build"] --> B["Instalador trojanizado<br/>LambLoad inserido no setup.exe<br/>Assinado com cert legítimo CyberLink"] B --> C["Verificações anti-sandbox<br/>Detecta CrowdStrike, FireEye, Tanium<br/>Aborta se presente"] C --> D["Download segundo estágio<br/>Arquivo PNG fake em GitHub<br/>Payload embutido no header"] D --> E["Execução em memória<br/>Payload decriptado e executado<br/>sem tocar o disco"] E --> F["Conexão com C2<br/>Infra previamente comprometida<br/>pelo Diamond Sleet"] F --> G["100+ dispositivos afetados<br/>Japão, Taiwan, Canadá, EUA<br/>Foco em tech, defesa, mídia"] ``` ## Cronologia | Data | Evento | |------|--------| | 2023-10-20 | Primeiras atividades suspeitas com o instalador CyberLink detectadas | | 2023-11-22 | Microsoft pública análise e notifica CyberLink sobre o comprometimento | | 2023-11-22 | Microsoft adiciona certificado CyberLink comprometido à lista de não confiáveis | | 2023-11-22 | GitHub remove segundo payload em conformidade com política de uso aceitável | | 2023-11-23 | CyberLink confirma incidente: apenas Promeo afetado; outros produtos limpos | | 2023-11-28 | NCSC UK e NIS Coreia do Sul emitem advisory conjunto sobre ataques DPRK supply chain | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Comprometimento do servidor de atualização CyberLink para distribuir LambLoad | | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Instalador comprometido assinado com certificado legítimo da CyberLink Corp. | | Masquerading | [[t1036-masquerading\|T1036]] | Payload de segundo estágio disfarçado como arquivo PNG legítimo | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payload executável embutido dentro de cabeçalho PNG falso (políglota) | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTPS para infraestrutura previamente comprometida | ## Impacto **Escala:** - Mais de 100 dispositivos comprometidos confirmados - Países afetados: Japão, Taiwan, Canadá e EUA - Setores visados: tecnologia da informação, defesa e mídia **Objetivo estratégico:** - Coleta de inteligência sobre empresas de tecnologia, defesa e mídia de países aliados dos EUA - Padrão de espionagem consistente com os objetivos do [[g0032-lazarus-group|Lazarus Group]] / Diamond Sleet **Contexto da série de ataques DPRK em 2023:** - Este ataque foi parte de uma série incluindo JetBrains TeamCity (CVE-2023-42793) e o ataque 3CX - todos atribuídos ao Diamond Sleet ou subgrupos do Lazarus no mesmo período ## Relevância LATAM e Brasil O impacto direto no Brasil e América Latina foi mínimo dado o foco geográfico do ataque (Ásia-Pacífico e América do Norte). No entanto: - A CyberLink possui presença global e seus produtos (PowerDVD, PhotoDirector) são utilizados em empresas brasileiras do [[technology|setor de tecnologia]] e produção de mídia - O padrão de comprometimento de software legítimo popularmente utilizado é diretamente relevante para qualquer ambiente onde instaladores de terceiros são baixados sem verificação de integridade - O [[g0032-lazarus-group|Lazarus Group]] demonstrou interesse crescente em mercados de tecnologia emergentes, incluindo o Brasil ## Mitigação **Controles técnicos:** - Verificar hashes de instaladores antes de execução, mesmo de fornecedores de reputação estabelecida - Implementar allowlisting de certificados digitais confiáveis nos endpoints corporativos - Monitorar processo filho anômalo de instaladores de software multimídia **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - verificação de integridade de atualizações de software - Implementar [[m1038-execution-prevention|M1038]] - controles de execução baseados em hash para instaladores - Monitorar via [[ds-0009-process|DS-0009]] - processos filhos suspeitos gerados por instaladores assinados ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/) Microsoft - Diamond Sleet Supply Chain Compromise (2023) - [2](https://thehackernews.com/2023/11/north-korean-hackers-distribute.html) The Hacker News - North Korean Hackers Distribute Trojanized CyberLink (2023) - [3](https://securityaffairs.com/154652/apt/diamond-sleet-supply-chain-attack-cyberlink.html) Security Affairs - Diamond Sleet Supply Chain Attack via CyberLink (2023) - [4](https://industrialcyber.co/ransomware/ncsc-nis-joint-cybersecurity-advisory-warns-of-dprk-linked-hackers-targeting-global-software-supply-chains/) NCSC/NIS - Advisory on DPRK Software Supply Chain Attacks (2023)