2021年11月10日国外安全厂商 ESET 曝光了朝鲜APT组织 Lazarus 一项攻击活动:
ESET 指出,Lazarus 组织使用了带有两个后门文件的 IDA Pro 7.5 软件,针对安全研究人员进行攻击。
IDA(Interactive Disassembler)是 Hex-Rayd 公司发布的一款世界顶级的反汇编工具,经常被国内外的安全研究人员用于二进制分析逆向等用途。
ESET 介绍到, 攻击者用恶意 DLL 文件替换了在 IDA Pro 安装期间执行的内部组件 win_fw.dll,恶意的 win_fw.dll 会创建一个 Windows 计划任务,该任务会从 IDA 插件文件夹中启动第二个恶意组件 idahelper.dll
启动后,idahelper.dll 会尝试从指定地址下载并执行下一阶段的payload
请装有泄露版IDA的同学自行检查
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
在本地中定期捕获流量数据包查询是否有访问相关攻击使用的域名:devguardmap[.]org
目前,该样本也已经公布:
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
此外,目前不排除 MAC 版本的IDA 是否存在类似的问题,请使用破解版的同学自行检查
其实,此类专门针对于安全人员的攻击,已经不算稀奇事件,之前就有通过社交媒体针对安全研究人员的社会工程学攻击活动的报道,只能说,身为安全人员,自身的安全防护也要做到位,安全意识也要提升,否则你的努力,都会被别人“看”在眼里!
原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/ida-may-have-been-planted-in-the-back-door.html