人设倒了扶起来：Lazarus 组织利用含木马的IDA Pro 攻击研究员

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

IDA Pro 是一款可将可执行文件转换为汇编语言的应用，允许安全研究员和程序员分析程序如何运行并发现其中的潜在bug。安全研究员通常使用 IDA来分析合法软件中的漏洞和恶意软件并判断所执行的恶意行为。

然而，由于 IDA Pro 应用价格昂贵，因此某些安全研究员不会购买而是选择下载盗版的破解版。和其它盗版软件一样，IDA Pro 盗版破解版存在被篡改进而包含恶意可执行文件的风险，而这正是 ESET 公司的安全研究员 Anton Cherepanov 在 IDA Pro 盗版应用中所发现的，该盗版被指由朝鲜国家黑客组织 Lazarus 分发。

ESET 公司发布了 Cherepanov 发现的 IDA Pro 7.5 的恶意版本，该版本旨在攻击安全研究员。该版本遭修改，包含了两个恶意 DLL 即 idahelp.dll 和 win_fw.dll，当程序安装后，这两个恶意 DLL 就会被执行。

Win_fw.dll 文件将在 Windows Task Scheduler 中创建一个新任务，启动idahelper.dll 程序。

Idahelper.dll 之后连接至 devguardmap[.]org 站点并下载远程访问木马 NukeSped。被安装的远程访问木马可使威胁行动者获得访问安全研究员设备的权限，从而窃取文件、获取截屏、日志键击或执行更多的命令。ESET 公司指出，“从域名和含木马的应用程序来看，我们认为该恶意软件是已知的 Lazarus 组织所为，此前谷歌威胁分析团队和微软均报道过。”

Cherepanov 表示，虽然不知道该版本是如何分发的，它最近才被发现，似乎早在2020年第一季度就已经开始分发。

Lazarus 黑客组织又被微软称为 “Zinc”，它一贯通过后门和远程访问木马攻击安全研究员。

1月，谷歌发现 Lazarus 组织通过社工创建虚假人设，伪装成漏洞研究员，然后联系其他安全研究员讨论关于漏洞研究协作的事宜。和研究员建立联系后，Lazarus 黑客向研究员发送所谓的和“漏洞”相关的 Visual Studio 项目，其中包含一个恶意的隐藏DLL “vcxproj.suo”。当研究员试图构建该项目时，预构建事件会执行DLL，而它将被当作自定义后门安装在研究员设备上。

此外，Lazarus 组织还使用IE 0day，趁安全研究员访问攻击者发来的链接时在研究员设备上部署恶意软件。

虽然目前尚不清楚Lazarus 组织的最终目标是什么，但可能是窃取未公开的安全漏洞和exploit，并为其所用。