北韓國家支持的駭客正在散佈台灣軟體製造商訊連科技（Cyber​​Link）開發的合法應用程式的惡意版本，以下游客戶為目標。微軟的威脅情報團隊週三表示，北韓駭客已入侵訊連科技，散佈該公司修改過的安裝文件，這是影響廣泛的供應鏈攻擊的一部分。

了解更多：

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/

訊連科技是一家總部位於台灣的軟體公司，主要開發PowerDVD 等多媒體軟體和人工智慧臉部辨識技術。根據該公司網站介紹，訊連科技擁有200 多項專利技術，在全球已出貨4 億多個應用程式。

微軟表示，該公司早在2023 年10 月20 日就發現了與修改後的訊連科技安裝程式相關的可疑活動，該安裝程式被該公司追蹤為”LambLoad”。迄今為止，微軟已在多個國家（包括日本、台灣、加拿大和美國）的100 多台裝置上偵測到該木馬安裝程式。

微軟稱，該文件託管在訊連科技擁有的合法更新基礎設施上，攻擊者使用了頒發給訊連科技的合法程式碼簽署憑證來簽署惡意執行檔。微軟的威脅情報團隊表示：”該證書已被添加到微軟不允許使用的證書清單中，以保護客戶免受未來對該證書的惡意使用。”

該公司指出，在這次活動中觀察到的第二階段有效載荷與先前被同一組威脅行為者入侵的基礎設施進行了互動。

微軟以”高度置信”的態度將這次攻擊歸咎於一個它追踪的名為Diamond Sleet的組織，這是一個與臭名昭著的Lazarus黑客組織有關聯的朝鮮國家行為者。據觀察，該組織以資訊科技、國防和媒體領域的組織為目標。據微軟稱，它主要側重於間諜活動、經濟收益和企業網路破壞。

微軟指出Diamond Sleet 攻擊者通常會從入侵的系統中竊取數據，滲透到軟體建置環境中，向下游發展以利用更多受害者，並試圖獲得對受害者環境的持久存取權。

微軟表示，它已將供應鏈受損事件通知訊連科技，但沒有說明是否已收到回复，也沒有說明訊連科技是否已根據公司的調查結果採取了任何行動。該公司也通知了受攻擊影響的Microsoft Defender for Endpoint客戶。