Lazarus Group атакует ИБ-экспертов с помощью троянизированного приложения IDA Pro

Чт 11 Ноябрь 2021 12:51

Северокорейская киберпреступная группировка Lazarus Group снова организовывает атаки на исследователей в области кибербезопасности. На этот раз хакеры используют троянизированную версию популярного приложения для обратной разработки IDA Pro.

IDA Pro — приложение, преобразующее исполняемый файл в язык ассемблера, позволяя исследователям и программистам анализировать работу программы и обнаруживать потенциальные ошибки. Исследователи безопасности обычно используют IDA для анализа легитимного программного обеспечения на наличие уязвимостей и вредоносных программ, а также для выявления вредоносного поведения.

Однако IDA Pro является дорогим приложением и некоторые исследователи скачивают пиратскую взломанную версию. Как и в случае с любым пиратским программным обеспечением, всегда существует риск запуска вредоносных исполняемых файлов. Именно это и обнаружил исследователь из ESET Антон Черепанов в пиратской версии IDA Pro 7.5, распространяемой хакерской группой Lazarus.

Преступники внедрили в установщик IDA Pro две вредоносные DLL-библиотеки (idahelp.dll и win_fw.dll), которые запускаются при установке программы. Файл win_fw.dll создает новую задачу в планировщике задач Windows, которая запускает программу idahelper.dll. Затем idahelper.dll подключается к сайту devguardmap[.]org и загружает троян для удаленного доступа NukeSped. Троян позволяет злоумышленникам получить доступ к устройству для кражи файлов, создания снимков экрана, регистрации. «Основываясь на домене и троянизированном приложении, мы связали вредоносное ПО с активностью Lazarus Group, о которой ранее сообщали Google Threat Analysis Group и Microsoft », — сообщили эксперты.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 259 дней 23 часа 46 минут 6 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.