2021年初,朝鮮APT組織Lazarus通過養推特大V賬號,配合定制開發的惡意軟件+0day漏洞針對安全研究人員進行了一系列的網絡攻擊活動,詳細可見:通過社交媒體針對安全研究人員的社會工程學攻擊活動。
而就在2021年11月10日,國外安全廠商ESET曝光了該組織的另一起攻擊活動,在該活動中,Lazarus組織使用了帶有兩個后門文件的IDA Pro 7.5軟件,針對安全研究人員進行攻擊。IDA(Interactive Disassembler)是Hex-Rayd公司的一款世界頂級的交互式反匯編工具,被安全研究人員常用于二進制分析逆向等用途。
攻擊者用惡意 DLL 文件替換了在 IDA Pro 安裝期間執行的內部組件 win_fw.dll。
惡意 win_fw.dll 會創建一個 Windows 計劃任務,該任務會從 IDA 插件文件夾中啟動第二個惡意組件 idahelper.dll。
啟動idahelper.dll 后,其會嘗試從
https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下載并執行下一階段的惡意Payload。
以上圖片均來自推特
@ESETresearch
請裝有泄露版IDA的同學自行檢查
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
在本地中定期捕獲流量數據包查詢是否有訪問相關攻擊使用的域名
devguardmap[.]org
在本次活動中使用的域名在2021年3月就已經曝光,而此后也一直無法對該域名進行訪問連接,有理由懷疑本次活動中涉及到的惡意軟件為老版本,因此對于近期網絡上泄露的IDA Pro新版軟件也需要多加小心,防止被“黑吃黑”。
除此之外,黑鳥回憶起有一個曾經在推特發布過泄露版IDA軟件的推特ID,與在2021年10月推特封禁的兩個新的朝鮮APT組織養的推特賬號有相似之處,賬號均以漏洞研究為噱頭進行吸粉,提高信譽后再攻擊研究人員的操作。
翻看后發現,Lagal1990在改名之前叫做mavillon1,目前mavillon1賬號也已經被凍結。
黑鳥通過群組聊天記錄找到了當時mavillon1賬號發布的推文,猶記當時圈內傳的火熱,建議當時本地安裝的同學自查一二。
由于Lazarus組織作為黑客組織本身也非常了解黑客群體,因此有理由懷疑除了IDA外,其他安全分析工具也可能慘遭毒手,因此如果有同學使用了非官方渠道分發的安全工具或軟件(例如BurpSuite),甚至是泄露的遠控(例如Cobaltstrike),請務必自行檢查,防止被黑客潛伏多年而不自知。
