2021 年 11 月 10 日、外資系セキュリティ メーカー ESET は、北朝鮮の APT 組織 Lazarus による攻撃活動を暴露しました。
ESETは、Lazarusグループがセキュリティ研究者をターゲットに2つのバックドアファイルを備えたIDA Pro 7.5ソフトウェアを使用していたことを指摘した。
IDA(Interactive Disassembler)は、Hex-Rayd社がリリースした世界トップクラスの逆アセンブルツールで、国内外のセキュリティ研究者がバイナリ解析やリバースエンジニアリングによく利用しています。
ESETは、攻撃者がIDA Proのインストール中に実行される内部コンポーネントwin_fw.dllを悪意のあるDLLファイルに置き換えたと紹介しており、悪意のあるwin_fw.dllは、IDAプラグインから2番目のタスクを起動するWindowsのスケジュールされたタスクを作成します。悪意のあるコンポーネント idahelper.dll
起動後、idahelper.dll は指定されたアドレスからペイロードの次の段階をダウンロードして実行しようとします。
流出したバージョンの IDA を所有している学生は、自分で確認するよう求められます。
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
定期的にトラフィック パケットをローカルでキャプチャし、関連する攻撃で使用されるドメイン名へのアクセスがあるかどうかを確認します: devguardmap[.]org
現在、次のサンプルもリリースされています。
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
また、MAC 版 IDA にも同様の問題が発生する可能性は現時点では否定できませんので、クラック版を使用している学生はご自身で確認してください。
実際、特にセキュリティ担当者を狙ったこの種の攻撃は、もはや珍しいことではありません。これまでにも、ソーシャル メディアを通じてセキュリティ研究者を狙ったソーシャル エンジニアリング攻撃が報告されています。セキュリティ担当者としては、自らのセキュリティを守る必要があるとしか言えません。最善を尽くして安全意識を高めなければなりません。そうしないと、あなたの努力が他の人に「見られて」しまいます。
CNCSOによるオリジナル記事。転載される場合は、出典を明記してください: https://cncso.com/jp/イダはバックドアに仕掛けられた可能性-html
