Erkennung von trojanisierten IDA Pro Installationen durch Lazarus-Hacker
Inhaltsverzeichnis:
Die berüchtigte Lazarus APT schlägt wieder zu, und Sicherheitsfachleute sind während der jüngsten Kampagne unter Beschuss. Der staatlich geförderte Akteur nutzt eine raubkopierte Version der weit verbreiteten Reverse-Engineering-Anwendung IDA Pro, um die Geräte von Forschern mit Hintertüren und Remote Access Trojans (RATs) zu kompromittieren.
NukeSpeed RAT wird über trojanisierte IDA Pro verteilt
Laut der Forschung von ESET, nutzen Lazarus-Hacker die Sparsamkeit einiger Sicherheitsexperten aus, die dazu neigen, geknackte Versionen der legitimen Software zu verwenden, um nicht dafür zu zahlen. Dieses Mal köderten die Angreifer ihre Opfer mit einer raubkopierten Version der IDA Pro-App, die von Sicherheitsexperten häufig zu Debugging-Zwecken verwendet wird.
Bedrohungsakteure versahen die IDA Pro 7.5-Version mit zwei bösartigen DLLs (idahelp.dll and win_fw.dll), die auf die Lieferung von NukeSpeed RAT abzielen. Die DLLs werden während des Installationsprozesses ausgeführt und erstellen eine spezielle Aufgabe über den Windows Task Scheduler, um die NukeSpeed-Nutzlast herunterzuladen. Nach der Ausführung nutzt die Lazarus-Gruppe den RAT, um sensible Daten von den Rechnern der Forscher zu erfassen, Screenshots zu machen, Tastenanschläge zu protokollieren und eine Reihe anderer bösartiger Befehle auszuführen.
Derzeit ist unklar, wie die mit Malware versehene App verteilt wird, jedoch glaubt ESET, dass die Kampagne seit Anfang 2020 im Gange ist.
Lazarus APT
Lazarus Advanced Persistent Threat (APT) ist ein berüchtigtes Hacker-Kollektiv, das im Auftrag der nordkoreanischen Regierung arbeitet. Die Gruppe ist seit 2009 extrem aktiv und führt ausgeklügelte bösartige Kampagnen mit dem Ziel finanziellen Gewinns und politischer Interventionen durch. Mehrere bahnbrechende Sicherheitsvorfälle werden mit diesem Bedrohungsakteur in Verbindung gebracht, darunter der Sony Pictures-Breach, der Bangladesh-Zentralbankraub und der WannaCry-Angriff.
Cybersecurity-Experten gehören zu den Hauptzielen der Lazarus-Hacker. Zum Beispiel startete Lazarus APT im Januar 2021 eine bösartige Operation , die einen gefälschten Blog und ein breites Netzwerk gefälschter Social-Media-Konten verwendete, um Threat-Hunting-Enthusiasten mit Malware zu infizieren.
Erkennung des trojanisierten IDA Pro
Um Lazarus-Angriffe zu verhindern und mögliche bösartige Aktivitäten im Zusammenhang mit der trojanisierten Version der IDA Pro-App zu erkennen, können Sie ein Set kuratierter Sigma-Regeln herunterladen, die bereits auf der SOC Prime-Plattform verfügbar sind. Alle Erkennungen sind direkt auf das MITRE ATT&CK®-Framework abgebildet und enthalten die entsprechenden Referenzen und Beschreibungen:
Trojanisierter IDA Pro Installer
Trojanisierter IDA Pro (via dns)
Lazarus-Hacker zielen auf Sicherheitsforscher mit trojanisiertem IDA Pro
Trojanisierter IDA Pro-Installer, verteilt von der Lazarus APT-Gruppe (via Prozess-Erstellung)
Trojanisierter IDA Pro Installer, verteilt von der Lazarus APT-Gruppe
Erkunden Sie die SOC Prime Detection as Code Plattform, um Angriffe schneller und effizienter als je zuvor abzuwehren. Jagen Sie sofort die neuesten Bedrohungen in über 20 unterstützten SIEM XDR-Technologien, steigern Sie das Bewusstsein für alle aktuellen Angriffe im Kontext ausgenutzter Schwachstellen und der MITRE ATT&CK-Matrix und optimieren Sie Ihre Sicherheitsoperationen, während Sie anonymes Feedback aus der globalen Cybersicherheit-Community erhalten. Begeistert, Ihre eigenen Sigma-Regeln zu erstellen und Geld für Ihren Beitrag zu erhalten? Treten Sie unserem Threat Bounty-Programm bei!
