10 ноября 2021 г. зарубежный производитель систем безопасности ESET раскрыл атаку северокорейской APT-организации Lazarus:
В ESET отметили, что группа Lazarus использовала программное обеспечение IDA Pro 7.5 с двумя файлами бэкдора для нападения на исследователей безопасности.
IDA (Интерактивный дизассемблер) — это инструмент дизассемблирования мирового класса, выпущенный Hex-Rayd. Он часто используется исследователями безопасности в стране и за рубежом для двоичного анализа и обратного проектирования.
ESET сообщила, что злоумышленник заменил внутренний компонент win_fw.dll, который выполняется во время установки IDA Pro, на вредоносный файл DLL. Вредоносный файл win_fw.dll создаст запланированное задание Windows, которое запустит второе из подключаемого модуля IDA. папка Вредоносный компонент idahelper.dll
После запуска idahelper.dll попытается загрузить и выполнить следующий этап полезной нагрузки с указанного адреса.
Студентов, у которых есть утекшая версия IDA, просят проверить ее самостоятельно.
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
Регулярно перехватывайте пакеты трафика локально, чтобы проверить, есть ли доступ к доменному имени, используемому в связанных атаках: devguardmap[.]org
В настоящее время также выпущен этот образец:
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
Кроме того, на данный момент не исключено, что MAC-версия IDA имеет аналогичные проблемы. Студентам, использующим взломанную версию, следует проверить это самостоятельно.
На самом деле, этот тип атак, нацеленных конкретно на сотрудников службы безопасности, уже не является редким явлением. Ранее поступали сообщения об атаках социальной инженерии, нацеленных на исследователей безопасности через социальные сети. Можно только сказать, что, будучи сотрудником службы безопасности, ваша собственная защита безопасности Вы также должны делать все возможное и повышать свою осведомленность о безопасности, иначе ваши усилия будут «увидены» другими!
Оригинал статьи, автор: CNCSO, при перепечатке указать источник: https://cncso.com/ru/ida-may-have-been-planted-in-the-back-door.html
