Am 10. November 2021 deckte der ausländische Sicherheitsanbieter ESET eine Angriffskampagne der nordkoreanischen APT-Gruppe Lazarus auf:
ESET stellt fest, dass die Lazarus-Gruppe die Software IDA Pro 7.5 mit zwei Backdoor-Dateien verwendet hat, um Sicherheitsforscher anzugreifen.
IDA (Interactive Disassembler) ist ein von Hex-Rayd herausgegebener Disassembler von Weltrang, der häufig von in- und ausländischen Sicherheitsforschern für Binäranalysen und Reverse verwendet wird.
Laut ESET haben die Angreifer die interne Komponente win_fw.dll, die während der IDA Pro-Installation ausgeführt wird, durch eine bösartige DLL-Datei ersetzt. Die bösartige win_fw.dll erstellt eine geplante Windows-Aufgabe, die eine zweite bösartige Komponente, idahelper.dll, aus dem IDA-Plug-in-Ordner startet.
Beim Starten versucht idahelper.dll, die nächste Stufe der Nutzlast von der angegebenen Adresse herunterzuladen und auszuführen
Bitte prüfen Sie selbst, ob Sie eine geleakte Version von IDA haben.
win_fw.dll
a8ef73cc67c794d5aa860538d66898868ee0bec0
idahelper.dll
de0e23db04a7a780a640c656293336f80040f387
Regelmäßiges Erfassen von Verkehrspaketen im lokalen Bereich, um den Zugang zu der für den fraglichen Angriff verwendeten Domäne abzufragen: devguardmap[.] org
Die Probe wurde nun ebenfalls veröffentlicht:
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
Außerdem ist es nicht ausgeschlossen, dass die MAC-Version von IDA ein ähnliches Problem hat, also überprüfen Sie bitte selbst, ob Sie eine gecrackte Version verwenden!
In der Tat, diese Art von Angriff speziell auf das Sicherheitspersonal gerichtet, hat nicht ein seltenes Ereignis gewesen, bevor es Social Media für Sicherheitsforscher berichtet Social-Engineering-Angriffe, kann nur sagen, als Sicherheitspersonal, ihre eigene Sicherheit Schutz sollte auch getan werden, das Sicherheitsbewusstsein sollte auch verbessert werden, da sonst Ihre Bemühungen, wird jemand anderes "sehen" in den Augen sein! "In den Augen der anderen!
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/ida-kann-durch-die-hintertur-eingeschleust-worden-sein-html