Eine mit Nordkorea in Verbindung stehende Hackergruppe hat es laut Microsofts Sicherheitsabteilung geschafft, ihre Malware bei einem be­kann­ten Software-Hersteller einzuschleusen und von diesem als Teil seiner Updates ausliefern zu lassen.

Malware in legitimem Installer von CyberLink versteckt

Malware-Update mit echtem Zertifikat signiert

Zusammenfassung Nordkoreanische Hackergruppe "Lazarus" verbreitet Malware.

Schadsoftware über CyberLink Updateserver verteilt.

Malware in modifiziertem CyberLink-Installer versteckt.

Über 100 Infektionen in Japan, Taiwan, Kanada, USA.

Microsoft blockiert Zertifikat und erkennt Malware.

Eindringen in CyberLink-Server bleibt unklar.

"Diamond Sleet" verübte große Cyberangriffe.

Microsofts Sicherheitsabteilung hat nachgewiesen, dass es der Gruppe "Lazarus", die in der Vergangenheit mehrfach durch den Diebstahl von Kryptowährungen im Auftrage der nordkoreanischen Regierung auffiel, gelungen ist, ihre Schadsoftware über die Updateserver des Softwareherstellers CyberLink Corp. zu verteilen.Dazu bediente sich Lazarus dem Vernehmen nach eines modifizierten Installationsprogramms von CyberLink, dessen Produkte aus dem Bereich der Medienwiedergabe bzw. -bearbeitung teilweise im Rahmen entsprechender Vereinbarungen mit PC-Herstellern auf deren Geräten vorinstalliert ausgeliefert werden.Lazarus sei es gelungen, einen mit einem echten Zertifikat signierten, aber mit seiner Malware versehenen Installer eines CyberLink-Tools auf die Updateserver des Unternehmens zu bringen. Von dort gelangte der trojanisierte Update-Installer dann auf die Rechner von Nutzern eines bestimmten CyberLink-Produkts, weshalb die Malware bisher auf mehr als 100 Geräten in Japan, Taiwan, Kanada und den USA nachgewiesen werden konnte.Wie genau die nordkoreanischen Hacker der Lazarus-Gruppe an das legitime Sicherheitszertifikat von CyberLink kommen konnten und es schafften, den modifizierten Installer dann auf die Updateserver von CyberLink zu bekommen, verriet Microsofts Threat Intelligence Team in seinem Blog-Eintrag aus der letzten Woche nicht.Microsoft hat mittlerweile dafür gesorgt, dass das von den Hackern verwendete Sicherheitszertifikat bei der Installation der signierten Dateien nicht mehr zulässig ist und die Installation somit von Windows blockiert wird. Außerdem hat man dafür gesorgt, dass die Malware von den hauseigenen Sicherheitslösungen wie Microsoft Defender erkannt wird.Die Lazarus-Gruppe wird von Microsoft auch Diamond Sleet genannt. Sie fiel in den letzten Jahren immer wieder durch Angriffe mit weitreichenden Folgen auf. So steckte die Gruppe hinter dem Sony-Pictures-Hack von 2014 , dem größten Angriff auf Kryptowährungen im Jahr 2022 und der WannaCry-Ransomware von 2017