Ihr IDA könnte mit einer Hintertür versehen worden sein!

Am 10. November 2021 deckte der ausländische Sicherheitsanbieter ESET eine Angriffskampagne der nordkoreanischen APT-Gruppe Lazarus auf:

Ihr IDA könnte mit einer Hintertür versehen worden sein!

ESET stellt fest, dass die Lazarus-Gruppe die Software IDA Pro 7.5 mit zwei Backdoor-Dateien verwendet hat, um Sicherheitsforscher anzugreifen.

IDA (Interactive Disassembler) ist ein von Hex-Rayd herausgegebener Disassembler von Weltrang, der häufig von in- und ausländischen Sicherheitsforschern für Binäranalysen und Reverse verwendet wird.

Ihr IDA könnte mit einer Hintertür versehen worden sein!

Ihr IDA könnte mit einer Hintertür versehen worden sein!

Laut ESET haben die Angreifer die interne Komponente win_fw.dll, die während der IDA Pro-Installation ausgeführt wird, durch eine bösartige DLL-Datei ersetzt. Die bösartige win_fw.dll erstellt eine geplante Windows-Aufgabe, die eine zweite bösartige Komponente, idahelper.dll, aus dem IDA-Plug-in-Ordner startet.

Ihr IDA könnte mit einer Hintertür versehen worden sein!

Beim Starten versucht idahelper.dll, die nächste Stufe der Nutzlast von der angegebenen Adresse herunterzuladen und auszuführen

Ihr IDA könnte mit einer Hintertür versehen worden sein!

Bitte prüfen Sie selbst, ob Sie eine geleakte Version von IDA haben.

win_fw.dll

a8ef73cc67c794d5aa860538d66898868ee0bec0

idahelper.dll

de0e23db04a7a780a640c656293336f80040f387

Regelmäßiges Erfassen von Verkehrspaketen im lokalen Bereich, um den Zugang zu der für den fraglichen Angriff verwendeten Domäne abzufragen: devguardmap[.] org

Die Probe wurde nun ebenfalls veröffentlicht:

https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample

https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection

Außerdem ist es nicht ausgeschlossen, dass die MAC-Version von IDA ein ähnliches Problem hat, also überprüfen Sie bitte selbst, ob Sie eine gecrackte Version verwenden!

In der Tat, diese Art von Angriff speziell auf das Sicherheitspersonal gerichtet, hat nicht ein seltenes Ereignis gewesen, bevor es Social Media für Sicherheitsforscher berichtet Social-Engineering-Angriffe, kann nur sagen, als Sicherheitspersonal, ihre eigene Sicherheit Schutz sollte auch getan werden, das Sicherheitsbewusstsein sollte auch verbessert werden, da sonst Ihre Bemühungen, wird jemand anderes "sehen" in den Augen sein! "In den Augen der anderen!

Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/ida-kann-durch-die-hintertur-eingeschleust-worden-sein-html

Wie (1)
Vorherige 10. November 2021 pm10:07
Weiter Freitag, 11. November 2021 9:57 Uhr

Empfohlen