起源於朝鮮的供應鏈攻擊,並在台灣面部識別提供者的申請安裝人員中進行了trojan網絡鏈接有詹姆斯·邦德電影的色彩。
根據有關微軟威脅情報博客,威脅性參與者被稱為Diamond Sleet的行為者代表DPRK的黑客機構Lazarus Group以外國金融機構為目標。嵌入在合法的網絡鏈接應用程序中的惡意代碼檢查是否存在特定安全軟件。如果未安裝指定的軟件,則險惡的安裝程序下載,解密,然後加載偽裝成PNG文件的第二階段有效載荷,該文件與以前由Diamond Sleet妥協的基礎架構進行交互。
MS威脅情報團隊說,修改後的文件“使用網絡鏈接公司簽發的有效證書籤署,由網絡鏈接擁有的合法更新基礎架構託管,其中包括檢查以限制安全產品執行和逃避檢測的時間窗口。”在包括台灣,加拿大和美國
微軟說,它首先在今年10月觀察到與網絡鏈接安裝程序相關的可疑活動。現已添加到Microsoft的不允許的證書列表中,並已通知了相關方,其中包括受攻擊影響的端點客戶的通知,以及已根據其可接受使用政策刪除了第二階段有效載荷的GitHub。
微軟正在繼續跟踪武器化應用程序和相關的有效載荷,為“Lambload。 ”
名字的雨夾雪 - 鑽石雨夾雪
究竟是誰或什麼是神秘的鑽石雨夾雪?金正恩政府支持的數字間諜組織以數據盜竊和對公司網絡的攻擊來針對媒體,國防和IT行業。
微軟尚未確定“在此惡意軟件妥協後進行的“動手鍵盤活動””,並且該帖子並未表明生物識別數據的任何妥協。但是它表示,這次攻擊來自鑽石雨夾雪,它具有使用類似的特洛伊木馬戰術來滲透軟件構建環境並將其惡意軟件下游移動的歷史。自2013年以來活躍起來,鑽石雨夾雪在陰暗的傘下運作拉撒路集團,以前是非法但現在由政府批准的黑客代理機構,被稱為和平的監護人,鋅,布魯諾夫和隱藏的眼鏡蛇。
西方領導人歸因於許多主要網絡攻擊近年來,拉撒路集團(Lazarus GroupWannaCry和十天的雨。
微軟表示,它將在威脅情報帖子中添加有關網絡鏈接問題的任何必要更新,這還包括有關如何避免攻擊並減輕其影響的建議。
網絡鏈接的面部識別軟件已收到網絡安全認證9月份來自韓國政府機構。
