朝鲜APT组织使用带后门IDA软件攻击安全研究人员

a110672f8a377a7d198ad9e1cefbcbb8.png


2021年初,朝鲜APT组织Lazarus通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动,详细可见:通过社交媒体针对安全研究人员的社会工程学攻击活动。

而就在2021年11月10日,国外安全厂商ESET曝光了该组织的另一起攻击活动,在该活动中,Lazarus组织使用了带有两个后门文件的IDA Pro 7.5软件,针对安全研究人员进行攻击。IDA(Interactive Disassembler)是Hex-Rayd公司的一款世界顶级的交互式反汇编工具,被安全研究人员常用于二进制分析逆向等用途。

470e3a4af64b3f711679fe0e5377ea08.png

365b29b305468853d9a08ad0c8b754a1.png

攻击者用恶意 DLL 文件替换了在 IDA Pro 安装期间执行的内部组件 win_fw.dll

9590661ec9d81704c3b804f4bad15ca5.png

恶意 win_fw.dll 会创建一个 Windows 计划任务,该任务会从 IDA 插件文件夹中启动第二个恶意组件 idahelper.dll。

0284c804ba8b50a3cb80510904c5f219.png

启动idahelper.dll 后,其会尝试从

https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下载并执行下一阶段的恶意Payload。

a1a90351bc5199955ec38edcd34330c4.png

以上图片均来自推特

@ESETresearch

请装有泄露版IDA的同学自行检查

win_fw.dll 

A8EF73CC67C794D5AA860538D66898868EE0BEC0 

idahelper.dll 

DE0E23DB04A7A780A640C656293336F80040F387 

在本地中定期捕获流量数据包查询是否有访问相关攻击使用的域名

devguardmap[.]org  

在本次活动中使用的域名在2021年3月就已经曝光,而此后也一直无法对该域名进行访问连接,有理由怀疑本次活动中涉及到的恶意软件为老版本,因此对于近期网络上泄露的IDA Pro新版软件也需要多加小心,防止被"黑吃黑"。

785eb7ecf5fb3bfcbed9ef6f716e7fc2.png

除此之外,黑鸟回忆起有一个曾经在推特发布过泄露版IDA软件的推特ID,与在2021年10月推特封禁的两个新的朝鲜APT组织养的推特账号有相似之处,账号均以漏洞研究为噱头进行吸粉,提高信誉后再攻击研究人员的操作。

ec668c609adee2a7e27cf39fcad6fdf1.png

ca0b4f1d0d317f0b924633e6e32d5edb.png

翻看后发现,Lagal1990在改名之前叫做mavillon1,目前mavillon1账号也已经被冻结

77b4a0032438fcb311fa624b8b0149c1.png

0db6f3895e82ac913c4f53eb85232446.png

黑鸟通过群组聊天记录找到了当时mavillon1账号发布的推文,犹记当时圈内传的火热,建议当时本地安装的同学自查一二。

0270288c1fd510ff6e1a3739afb8c147.png

由于Lazarus组织作为黑客组织本身也非常了解黑客群体,因此有理由怀疑除了IDA外,其他安全分析工具也可能惨遭毒手,因此如果有同学使用了非官方渠道分发的安全工具或软件(例如BurpSuite),甚至是泄露的远控(例如Cobaltstrike),请务必自行检查,防止被黑客潜伏多年而不自知。

参考链接:

https://twitter.com/ESETresearch/status/1458438155149922312

https://github.com/blackorbird/APT_REPORT/blob/master/lazarus/README.MD

通过社交媒体针对安全研究人员的社会工程学攻击活动

上期:乌克兰披露俄罗斯APT组织人员信息与通话录音

2ec69b5298e401989800ae762ce4fa52.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/56743.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

chatgpt自己杜撰答案(sometimes)?

当我想通过filebeat将mysql表的内容同步到ELK系统中时,我向chatgpt询问时: 在我根据上述回答完成配置文件后启动filebeat后报错如下: ERRORinstance/beat.go:916Exiting: Error while initializing input: Error creating input. No such i…

智能聊天功能——语音聊天篇

如今大部分人都面临着来自生活各方面的压力,时常感到焦虑、孤独,有的甚至患上了抑郁症等心理疾病,他们无法排解,甚至找不到人来诉苦,本系统提供了语音对话功能。 在用户无聊的时候,可以唤醒“依米”&#x…

转【Latex】Texstudio英文拼写错误检查功能出问题的解决方法

【Latex】Texstudio英文拼写错误检查功能出问题的解决方法 2018年03月23日 22:54:49 阅读数:685 问题描述 最近用latex(编辑器为Texstudio)写论文,相比于本科时常用的word,各种方便,唯一不爽的是texstu…

英文论文纠错:

Grammarly:官网下载,拉到底部product的office版本,下载后安装,word中会多一个插件,就像这样 基本上免费的功能就够用了,它会识别全文,然后给出你可能存在的问题

GPT专业应用:生成百度搜索创意

正文共 1017 字,阅读大约需要 4 分钟 数字营销人员必备技巧,您将在4分钟后获得以下超能力: 生成百度搜索创意 Beezy评级 :B级 *经过简单的寻找, 大部分人能立刻掌握。主要节省时间。 推荐人 | nanako 编辑者 | Linda…

惊!ChatGPT处理文章仅需一秒钟,提取大纲、重写不在话下!

前言 在上篇文章中,我们实现了批量抓取到微信公众号文章的链接地址,那么这篇文章将继续为大家介绍,如何根据链接爬取到文章内容,并且利用chantGPT对文章进行处理。 爬取文章内容 我们已经有了很多文章的链接,这些链…

程序员做自媒体,到底是怎样一种体验?这几个大佬公众号彻底告诉你

人与人之间的差异,很多时候在于认知,说起大厂的程序员,一般技术是会好些,一方面原因能进大厂的程序员大部分学历、专业都过硬,另一方面也是最主要的,他们也会不断利用大的平台学习总结,触类旁通…

自媒体多平台发布怎么做?2022年高级自媒体人都这么玩

现在许多小伙伴开始做自媒体都是在一些自媒体视频或者博主的介绍下才认识到做自媒体可以给自己带来收益,刚刚做得时候可能只会弄一两个账号,发现收益也不高,便不想去做相关的事情了,的确现在做自媒体的人太多了,无论是…

做自媒体月入几万?博主们都在用的几个自媒体工具

为什么新手做自媒体行业月入只有几十块钱,而那些自由博主做自媒体却月入几万呢?想知道你和他们的差距吗?如果是你做了一个月甚至更久的时间不见效果,那就试试博主们都在用的几个工具和网站,或许就能改变你目前的一个现…

玩转自媒体,你需要这样做

文/Fdaxiong大熊 (分享个人经验,帮助新人快速了解自媒体平台) 自媒体平台有那些?1.微信公众号,2.今日头条,3.一点资讯,4.企鹅平台,6.百家号,7.大鱼号,8.搜狐号…

怎么做自媒体?从这几步做起

新手怎么做自媒体,自媒体新手要从这几步做起,新手怎么做自媒体,现在互联网的发展越来越迅速,做自媒体的人越来越多,走在路上随手可见拍视频的人,身边靠写文章挣钱的人,一大把。小到几岁的小孩&a…

批改网作文提交时分析不出来_小学生作文写作从哪些方面提高呢?

小学生在写作学习的前期就会对优秀的和满分作文进行借鉴和赏析从而就会模仿他们的写作方法还有个别的描写语句段落了,其实这是小学生作文学习的一种方法,学生们应该利用好引用抄作文的方法还有就是要明白其中的道理还有意义了。我也是老师,作…

批改网作文素材

句型:too…to

韩语暑假作文批改(蓝书完结)

积累好句 ㄹ 수 있도록 하는 것이 중요하다 ....를 통해 어제보다 진보한 내일을 만들 수 있는 힘이 생기기 때문이다: 使能。。很重要,因为通过。。是力量 66届 填空: 别人对别人说-->动词라고..:命令句间接引语 小作文:…

批改网作文提交时分析不出来_人物专访 I 苗晋:我的生活都为“批改作文”而让路...

提起新东方名师,我们往往想到的是那些亢奋激情、金句不断,在讲台上引发学生爆笑的老师们。但你可能不知道,英联邦还有这样的一支“学术范儿”队伍。他们是德高望重的知识分子,在教学上刻苦钻研,精益求精,在…

计算机专业的考研英语作文,2019计算机考研英语作文复习得分攻略

►常下手、要批改 这里我所谓的常下手,是因为很多同学复习过程中注重积累而忽视真正动手演习。同样还是因为写作是输出活动,它要求我们呈现给考官的不是一个结果而是一个过程,仅仅看到知道并理解是不够的,还要会运用那些词汇、句法…

无敌了,用Python给英语老师开发了个英语作文批改的神器(支持小学到雅思)

除了老师和家长,它也可以批改作业 最近一个家长退群的故事在某博上了热搜。故事中老师和家长的矛盾由批改作业集中爆发,至于孰是孰非,还是交给吃瓜群众去评价吧,作为一个技术工作者,我突发奇想,是否以后能…

计算机批改程序,计算机能批改作文吗?

在现代学校,使用计算机阅卷,并非是什么新鲜事物,目前还大多只限于选择题。但是大家有否想过,计算机阅卷可否用于作文或者填空题等类型呢?在美国,哈佛和麻省理工合办的EdX在线学习平台,向全球提供…

批改网作文提交时分析不出来_考研英语作文免费批改工具

马上就要十一月了,同学们应该都将英语作文的学习和练习提上了日程了。但是随之而来的问题就是练习的作文不知道自己到底写得好不好。在校的学生还好,可以找到英语老师帮忙进行批改,但这也有点麻烦,更不用说其他考研人了。所以&…

【TCP专题】TCP连接断开

当TCP的连接建立完成后,我们就可以尽情的通过TCP连接所创立的会话来进行数据的传输了。当然,再有意思的话题也有说完的时候,所以,当数据传输完之后,TCP该如何善后呢? TCP的四次挥手 TCP的连接断开需要经历4…