2021년 11월 10일, 외국 보안 제조업체 ESET은 북한 APT 조직 Lazarus의 공격 활동을 폭로했습니다.
ESET은 Lazarus 그룹이 보안 연구원을 표적으로 삼기 위해 두 개의 백도어 파일이 포함된 IDA Pro 7.5 소프트웨어를 사용했다고 밝혔습니다.
IDA(Interactive Disassembler)는 Hex-Rayd에서 출시한 세계 최고 수준의 디스어셈블리 도구로, 국내외 보안 연구자들이 바이너리 분석 및 리버스 엔지니어링을 위해 자주 사용하고 있습니다.
ESET은 공격자가 IDA Pro 설치 중에 실행되는 내부 구성 요소 win_fw.dll을 악성 DLL 파일로 교체했다고 밝혔습니다.악성 win_fw.dll은 IDA 플러그인에서 두 번째 작업을 시작하는 Windows 예약 작업을 생성합니다. 폴더 악성 구성 요소 idahelper.dll
시작 후 idahelper.dll은 지정된 주소에서 페이로드의 다음 단계를 다운로드하고 실행하려고 시도합니다.
유출된 IDA 버전을 가지고 있는 학생들은 직접 확인하시기 바랍니다.
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
정기적으로 트래픽 패킷을 로컬에서 캡처하여 관련 공격에 사용되는 도메인 이름에 대한 액세스가 있는지 확인합니다: devguardmap[.]org
현재 이 샘플도 출시되었습니다.
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
또한 현재 MAC 버전의 IDA에도 유사한 문제가 있을 가능성을 배제할 수 없으므로 크랙 버전을 사용하는 학생들은 직접 확인해 보아야 합니다.
실제로 보안 인력을 겨냥한 이러한 유형의 공격은 더 이상 드문 일이 아닙니다. 이전에도 소셜 미디어를 통해 보안 연구원을 대상으로 한 사회 공학 공격이 보고된 바 있습니다. 보안 인력으로서 자신의 보안 보호가 필요하다고 할 수 있습니다. 또한 최선을 다하고 안전 의식을 향상시켜야 합니다. 그렇지 않으면 귀하의 노력이 다른 사람들에게 "보일" 것입니다!
원문, 저자 : CNCSO, 재인쇄시 출처를 밝혀주세요 : https://cncso.com/kr/ida-may-have-been-planted-in-the-back-door.html