У вашего IDA может быть бэкдор!

10 ноября 2021 г. зарубежный производитель систем безопасности ESET раскрыл атаку северокорейской APT-организации Lazarus:

У вашего IDA может быть бэкдор!

В ESET отметили, что группа Lazarus использовала программное обеспечение IDA Pro 7.5 с двумя файлами бэкдора для нападения на исследователей безопасности.

IDA (Интерактивный дизассемблер) — это инструмент дизассемблирования мирового класса, выпущенный Hex-Rayd. Он часто используется исследователями безопасности в стране и за рубежом для двоичного анализа и обратного проектирования.

У вашего IDA может быть бэкдор!

У вашего IDA может быть бэкдор!

ESET сообщила, что злоумышленник заменил внутренний компонент win_fw.dll, который выполняется во время установки IDA Pro, на вредоносный файл DLL. Вредоносный файл win_fw.dll создаст запланированное задание Windows, которое запустит второе из подключаемого модуля IDA. папка Вредоносный компонент idahelper.dll

У вашего IDA может быть бэкдор!

После запуска idahelper.dll попытается загрузить и выполнить следующий этап полезной нагрузки с указанного адреса.

У вашего IDA может быть бэкдор!

Студентов, у которых есть утекшая версия IDA, просят проверить ее самостоятельно.

win_fw.dll

A8EF73CC67C794D5AA860538D66898868EE0BEC0

idahelper.dll

DE0E23DB04A7A780A640C656293336F80040F387

Регулярно перехватывайте пакеты трафика локально, чтобы проверить, есть ли доступ к доменному имени, используемому в связанных атаках: devguardmap[.]org

В настоящее время также выпущен этот образец:

https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample

https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection

Кроме того, на данный момент не исключено, что MAC-версия IDA имеет аналогичные проблемы. Студентам, использующим взломанную версию, следует проверить это самостоятельно.

На самом деле, этот тип атак, нацеленных конкретно на сотрудников службы безопасности, уже не является редким явлением. Ранее поступали сообщения об атаках социальной инженерии, нацеленных на исследователей безопасности через социальные сети. Можно только сказать, что, будучи сотрудником службы безопасности, ваша собственная защита безопасности Вы также должны делать все возможное и повышать свою осведомленность о безопасности, иначе ваши усилия будут «увидены» другими!

Оригинал статьи CNCSO, при воспроизведении просьба указывать источник: https://cncso.com/ru/ида-могла-быть-подброшена-через-задню

Нравиться (1)
Предыдущий 10 ноября 2021 пп10:07
Следующий 11 ноября 2021 пп9:57

связанное предложение