Хакеры Lazarus нацелены на исследователей с помощью троянизированной IDA Pro

20
ФБР предупреждает о фишинге, нацеленном на клиентов известных брендов

Спонсируемая государством Северная Корея группа хакеров, известная как Lazarus, снова пытается взломать исследователей безопасности, на этот раз с помощью троянской пиратской версии популярного приложения обратного инжиниринга IDA Pro.

IDA Pro — это приложение, которое преобразует исполняемый файл в язык ассемблера, позволяя исследователям безопасности и программистам анализировать, как работает программа, и обнаруживать потенциальные ошибки.

Исследователи безопасности обычно используют IDA для анализа легального программного обеспечения на наличие уязвимостей и вредоносных программ, чтобы определить, какое вредоносное поведение оно выполняет.

Однако, поскольку IDA Pro — дорогое приложение, некоторые исследователи скачивают пиратскую взломанную версию вместо того, чтобы покупать ее.

Как и в случае с любым пиратским программным обеспечением, всегда существует риск того, что оно будет модифицировано с целью включения вредоносных исполняемых файлов, что именно  обнаружил исследователь ESET  Антон Черепанов в пиратской версии IDA Pro, распространяемой хакерской группой Lazarus.

Троянизированная IDA Pro нацелена на исследователей безопасности

Сегодня  ESET написал в Твиттере  о вредоносной версии IDA Pro 7.5, обнаруженной  Черепановым, которая распространяется в Интернете для целевых исследователей безопасности.

В этот установщик IDA были внесены две вредоносные библиотеки DLL с именами  idahelp.dll  и  win_fw.dll,  которые будут запускаться при установке программы.

Файл win_fw.dll создаст новую задачу в планировщике задач Windows, которая запускает программу idahelper.dll.

Затем idahelper.dll подключится к сайту devguardmap [.] Org и загрузит полезные данные, которые считаются трояном удаленного доступа NukeSped. Установленная RAT позволит злоумышленникам получить доступ к устройству исследователя безопасности для кражи файлов, создания снимков экрана, регистрации нажатий клавиш или выполнения дальнейших команд.

«Основываясь на домене и троянизированном приложении, мы связываем это вредоносное ПО с известной активностью Lazarus, о которой ранее сообщали Google Threat Analysis Group и Microsoft», — написали в Твиттере ESET о подключении к Lazarus.

Черепанов сказал BleepingComputer, что, хотя он не знает, как распространяется программа установки, она была обнаружена недавно и, похоже, распространяется с первого квартала 2020 года.

Lazarus уже давно нацелен на исследователей

Хакерская группа Lazarus, также известная как Zinc от Microsoft, имеет долгую историю нацеливания на исследователей безопасности с помощью бэкдоров и троянов удаленного доступа.

В январе Google сообщил, что  Lazarus провел кампанию  в социальных сетях по созданию фальшивых персонажей, выдававших себя за исследователей уязвимостей.

Используя этих персонажей, группа хакеров связывалась с другими исследователями безопасности по поводу возможного сотрудничества в исследовании уязвимостей.

После установления контакта с исследователем хакеры отправляли проекты Visual Studio, связанные с предполагаемой «уязвимостью», которая содержала вредоносную скрытую DLL с именем «vcxproj.suo».

Когда исследователь пытался построить проект, событие перед сборкой запускало DLL, которая действовала как настраиваемый бэкдор, установленный на устройстве исследователя.

Другие атаки Lazarus также использовали Internet Explorer нулевого дня для развертывания вредоносных программ на устройствах исследователей безопасности, когда они посещали ссылки, отправленные злоумышленниками.

Хотя никогда не было определено, какова была конечная цель этих атак, вероятно, было украсть нераскрытые уязвимости системы безопасности и эксплойты, которые хакерская группа могла использовать в своих собственных атаках.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here