朝鲜APT组织Lazarus又又又对安全人员发起攻击

点击蓝字关注我们

安恒威胁情报中心

朝鲜APT组织Lazarus又又又对安全人员发起攻击

- by 猎影实验室-

摘要

2021年11月10日，国外安全厂商ESET发布推文，曝光朝鲜APT组织Lazarus的最新攻击活动，该组织在分发IDA Pro 7.5软件安装包中植入两个恶意组件，意图针对安全研究人员。

此前，猎影实验室也发现了该组织相关账户的一些攻击活动，并发现该组织利用漏洞研究相关内容建立账户信任感，以进一步圈定攻击目标，发起攻击。其中，我们在今年5月观察到的0Day漏洞CVE-2021-33739就是一个十分诱人的素材。

简况

Lazarus组织长期以来一直利用后门和远程访问木马来攻击安全研究人员。2021年年初，研究人员曾披露Lazarus组织以漏洞研究合作为幌子，针对安全研究人员的网络攻击活动。近日，Lazarus再次试图针对安全研究人员展开攻击，而这次使用的诱饵是流行的 IDA Pro逆向工程应用程序的木马化版本。

IDA Pro 是一种静态反编译应用程序，安全研究人员和程序员可以使用 IDA 来分析合法软件的漏洞。由于IDA Pro费用昂贵，因此一些研究人员会下载盗版破解版程序。11月10日，ESET披露了针对安全研究人员分发的IDA Pro 7.5的恶意版本。

攻击过程

IDA Pro安装包里的 idahelper.dll 和 win_fw.dll 文件已被攻击者修改为恶意DLL。这两个恶意组件将在安装程序中执行。修改的恶意DLL如下图：

恶意win_fw.dll 会在Windows 任务计划程序中创建一个计划任务，然后从 IDA Plugins插件文件夹中执行 idahelper.dll恶意组件。

一旦启动，idahelper.dll 会尝试从 https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下载执行下一阶段的payload。

该payload被认为是Lazarus组织之前使用的NukeSped RAT远控木马，攻击者可以通过安装的 RAT 访问研究人员的设备，从而窃取文件、截取屏幕截图、记录击键或执行进一步的命令。

最后，ESET团队基于网络指标和攻击中使用的恶意软件，以及谷歌和微软的报告，将本次攻击归因到Lazarus组织。

关联分析

猎影实验室在5月捕获一个未知windows内核0day样本（也就是后来的CVE-2021-33739）的时候就发现，名为“mavillon1”的用户就曾在github发布过一个类似代码，当时我们就对用户“mavillon1”产生了怀疑。

而在今年8月初，，ID为“mavillon1”的推特用户在转发盗版IDA Pro 7.6的时，又再一次引起我们的注意。

目前，推特用户mavillon1已暂停使用。

综上所述，猎影实验室以高置信度将2021年5月的CVE-2021-33739野外漏洞利用攻击活动归因到Lazarus组织，关于该漏洞的详细分析可移步至参考链接。

总结

Lazarus组织长期以来就有针对安全研究人员的攻击历史，其目的可能是想窃取未公开的漏洞研究成果，以升级其武器库。并且通过一些漏洞研究、POC、EXP内容吸引研究者，这些攻击都展现出其针对性以及迷惑性。我们也怀疑该组织在以往攻击中成功偷盗了一些比较有价值的漏洞研究相关的内容。安全研究人员在日常的研究及互联网社交中，应保持警惕。

IOC

A8EF73CC67C794D5AA860538D66898868EE0BEC0（win_fw.dll）

DE0E23DB04A7A780A640C656293336F80040F387（idahelper.dll）

devguardmap[.]org  

https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01

文章参考

ESET厂商推文链接

https://twitter.com/esetresearch/status/1458438155149922312

《又捕获到一个0day！安恒威胁情报中心再次发力，漏洞可影响最新版WIN10》

https://mp.weixin.qq.com/s/ZjJ4kXOCTSez2erVKYzKbg

 招聘 信息

岗位：二进制安全研究员

岗位职责：

* 针对海量威胁数据的挖掘，寻找APT攻击事件；
* 负责热门的安全事件、最新漏洞的分析，编写响应的分析报告；
* 研究新的检测方法，完善产品的检测能力；
* 协助内部威胁分析平台建设等。

任职要求：

* 熟悉windows、Linux等平台调试手段，熟练使用逆向分析工具（如：IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言，至少熟悉一门脚本编程语言，能快速完成POC代码编写；
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等；
* 了解二进制安全漏洞原理，具备独立漏洞分析能力；
* 了解yara、snort等类似策略编写；
* 具备大数据挖掘能力，能够快速对数据进行关联分析；
* 思路清晰，善于主动思考，有创新、能独立分析和解决问题，具有良好的沟通能力和团队合作精神。

加分项：

* 具有信息安全公司实习、从业经验；
* 熟悉APT攻击攻防、威胁狩猎，具备Sandbox开发、杀软类绕过研究、加壳工具开发经验；
* 具备多平台恶意代码分析经验（Linux、Android、macOS等）；
* 有二进制相关漏洞CVE编号；
* 熟悉Web攻防，了解红蓝对抗相关工具使用以及内部原理，有渗透相关经验；
* 具备机器学习的相关实战经验。

投递邮箱：

xiaoyi.tu@dbappsecurity.com.cn

安恒信息威胁情报中心

情报云脑.智能安全

平台地址：https://ti.dbappsecurity.com.cn/