2021年11月10日國外安全廠商ESET 曝光了北韓APT組織Lazarus 一項攻擊活動:
ESET 指出,Lazarus 組織使用了兩個後門檔案的IDA Pro 7.5 軟體,針對安全研究人員進行攻擊。
IDA(Interactive Disassembler)是Hex-Rayd 公司發布的一款世界頂級的反組譯工具,經常被國內外的安全研究人員用於二元分析逆向等用途。
ESET 介紹到, 攻擊者用惡意DLL 檔案取代了在IDA Pro 安裝期間執行的內部元件win_fw.dll,惡意的win_fw.dll 會建立一個Windows 排程任務,該任務會從IDA 外掛程式資料夾中啟動第二個惡意元件idahelper.dll
啟動後,idahelper.dll 會嘗試從指定位址下載並執行下一階段的payload
請裝有洩漏版IDA的同學自行檢查
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
在本機中定期擷取流量資料包查詢是否有存取相關攻擊使用的網域:devguardmap[.]org
目前,該樣本也已經公佈:
https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample
https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection
此外,目前不排除MAC 版本的IDA 是否有類似的問題,請使用破解版的同學自行檢查
其實,此類專門針對於安全人員的攻擊,已經不算稀奇事件,之前就有透過社群媒體針對安全研究人員的社會工程攻擊活動的報道,只能說,身為安全人員,自身的安全防護也要做到位,安全意識也要提升,否則你的努力,都會被別人「看」在眼裡!
原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/tw/ida-may-have-been-planted-in-the-back-door-html