朝鲜APT组织使用带后门IDA软件攻击安全研究人员
2021年初,朝鲜APT组织Lazarus通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动,详细可见:通过社交媒体针对安全研究人员的社会工程学攻击活动。
而就在2021年11月10日,国外安全厂商ESET曝光了该组织的另一起攻击活动,在该活动中,Lazarus组织使用了带有两个后门文件的IDA Pro 7.5软件,针对安全研究人员进行攻击。IDA(Interactive Disassembler)是Hex-Rayd公司的一款世界顶级的交互式反汇编工具,被安全研究人员常用于二进制分析逆向等用途。
攻击者用恶意 DLL 文件替换了在 IDA Pro 安装期间执行的内部组件 win_fw.dll。
恶意 win_fw.dll 会创建一个 Windows 计划任务,该任务会从 IDA 插件文件夹中启动第二个恶意组件 idahelper.dll。
启动idahelper.dll 后,其会尝试从
https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下载并执行下一阶段的恶意Payload。
以上图片均来自推特
@ESETresearch
请装有泄露版IDA的同学自行检查
win_fw.dll
A8EF73CC67C794D5AA860538D66898868EE0BEC0
idahelper.dll
DE0E23DB04A7A780A640C656293336F80040F387
在本地中定期捕获流量数据包查询是否有访问相关攻击使用的域名
devguardmap[.]org
在本次活动中使用的域名在2021年3月就已经曝光,而此后也一直无法对该域名进行访问连接,有理由怀疑本次活动中涉及到的恶意软件为老版本,因此对于近期网络上泄露的IDA Pro新版软件也需要多加小心,防止被"黑吃黑"。
除此之外,黑鸟回忆起有一个曾经在推特发布过泄露版IDA软件的推特ID,与在2021年10月推特封禁的两个新的朝鲜APT组织养的推特账号有相似之处,账号均以漏洞研究为噱头进行吸粉,提高信誉后再攻击研究人员的操作。
翻看后发现,Lagal1990在改名之前叫做mavillon1,目前mavillon1账号也已经被冻结。
黑鸟通过群组聊天记录找到了当时mavillon1账号发布的推文,犹记当时圈内传的火热,建议当时本地安装的同学自查一二。
由于Lazarus组织作为黑客组织本身也非常了解黑客群体,因此有理由怀疑除了IDA外,其他安全分析工具也可能惨遭毒手,因此如果有同学使用了非官方渠道分发的安全工具或软件(例如BurpSuite),甚至是泄露的远控(例如Cobaltstrike),请务必自行检查,防止被黑客潜伏多年而不自知。
参考链接:
https://twitter.com/ESETresearch/status/1458438155149922312
https://github.com/blackorbird/APT_REPORT/blob/master/lazarus/README.MD
通过社交媒体针对安全研究人员的社会工程学攻击活动
上期:乌克兰披露俄罗斯APT组织人员信息与通话录音
朝鲜APT组织使用带后门IDA软件攻击安全研究人员相关推荐
- 朝鲜APT组织RedEye(Reaper)||ISIS持续进行 OpTheWorld行动
一.朝鲜APT组织RedEye(Reaper/Group 123)新活动与总结 历史攻击事件与手段还有文档内容标题 历史样本家族与对应功能 Reloader (DocPrint) 在内存中执行其他恶意 ...
- 朝鲜APT组织Group123利用美朝会议消息构造恶意HWP文件针对韩国发起攻击
本次攻击仍为以往追踪的Group123所发起的攻击事件,恶意文档文件名为미북 정상회담 전망 및 대비.hwp ,即美朝峰会的前景与展望,该次会议将在6月12日举行. 该文档触发漏洞后,会执行文件中包 ...
- 新型APT组织正在攻击全球的政府实体
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ESET 公司称发现一个新型 APT 组织正在攻击全球范围内的实体,该组织被命名为 "FamousSparrow". 该 A ...
- 【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
近年来,随着地缘冲突和贸易冲突的加剧,网络安全攻击成为了继"海.陆.空.天"后的另一大战场,继而催生出越来越多的国家级APT攻击组织. 每个国家级的APT攻击组织的目的都不尽相同, ...
- 如何保护企业网络免受勒索软件攻击 Vecloud微云
根据SonicWall的数据,2016年约有6.38亿起勒索软件未遂攻击事件,而2015年为380万起.公司每年向攻击者提供数百万美元,而且这个数字还在不断增加. 为了防止企业成为勒索软件的受害者,企 ...
- 超千万安卓用户安装某诈骗APP、英国勒索软件攻击数量翻倍|10月27日全球网络安全热点
安全资讯报告 攻击者劫持Craigslist电子邮件传播恶意软件 Craigslist内部电子邮件系统本月被攻击者劫持以传递令人信服的消息,最终目的是避免Microsoft Office安全控制来传递 ...
- 解读全球最严重的5起勒索软件攻击
本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪 ...
- 朝鲜APT集团Lazarus通过KEYMARBLE Backdoor瞄准俄罗斯组织
由朝鲜赞助的APT集团Lazarus旗下的分支机构Bluenoroff被发现最近将目光转向了俄罗斯组织.Bluenoroff在新活动中使用专门针对俄罗斯组织的恶意办公室文件. Lazarus(又名为H ...
- 【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者
朝鲜InkySquid APT组织利用浏览器漏洞感染受害者. 2021年4月,Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]servic ...
最新文章
- CentOS下安装Telnet
- LaTex 插入数学公式
- 系统升级页面html,页面访问界面升级
- Feign客户端 - 超时时间配置
- qt找不到打印机_Qt无法调起打印机问题(QPrintDialog: Cannot be used on non-native printers)解决...
- How is account image maintained in CRM rendered in Fiori
- 解决Visual Studio (VS) 插件下载缓慢
- windows下nginx的安装及使用
- 同一解决方案内的多个项目之间如何引用?
- (17)System Verilog枚举类型enum详解
- Maven:org.apache.maven.archiver.MavenArchiver.getManifest错误
- 十大优秀 Windows开放源代码软件简介
- Unity常见资源类型
- 如何将Caj转Word,免费CAJ转换的方法
- MIT 心拍类型注释
- DFRobot-Fermion环境传感器详细介绍和应用
- POJ1753题解(枚举)
- wps.wrod.excel基本操作总结
- 用opencv-python建立纯色图
- 蓝的成长记——追逐DBA(10):飞刀防身,熟络而非专长:摆弄中间件Websphere