朝鲜国家资助的黑客组织 Lazarus 正试图在主流的逆向工程软件 IDA Pro 中植入木马,通过传播带有木马的盗版IDA Pro针对安全研究人员进行持续威胁。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,IDA Pro 是一种交互式反汇编程序,旨在将机器语言(也称为可执行文件)翻译成汇编语言,使安全研究人员能够分析程序的内部工作,并作为调试器来检测错误。
攻击者将原始 IDA Pro 7.5版本软件与两个恶意组件捆绑在一起,其中一个是名为 win_fw.dll 的内部模块,该模块在应用程序安装期间执行。这个被篡改的版本随后被编排以从系统上的 IDA 插件文件夹加载名为 idahelper.dll 的第二个组件。
成功执行后,idahelper.dll 二进制文件连接到位于 www.devguardmap.org 的远程服务器以检索后续有效攻击载荷。该域名还值得注意的是,它之前曾与类似的朝鲜支持的针对安全专业人士的活动有关,并于今年 3 月初由谷歌的威胁分析小组披露。
该恶意行动涉及对手建立了一家名为SecuriElite的虚假安全公司以及 Twitter 和 LinkedIn 上的多个社交媒体帐户,试图诱骗毫无戒心的安全研究人员访问该公司带有恶意软件的网站,从而触发利用然后在 Internet Explorer 浏览器中使用 0day。
朝鲜的网络计划带来了越来越多的间谍活动,窃取和攻击的威胁,朝鲜对全球的金融机构和加密货币交易所进行了网络盗窃,可能窃取数亿美元,可能是为了资助政府的优先事项,例如其核计划和导弹计划。
极牛网精选文章《朝鲜黑客组织在IDA Pro植入木马,针对安全研究人员APT攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16981.html