Detección de Instaladores de IDA Pro Troyanizados Distribuidos por Hackers de Lazarus
Tabla de contenidos:
El infame APT de Lazarus ataca de nuevo, con los profesionales de la seguridad siendo blanco del ataque durante la campaña más reciente. El actor patrocinado por el estado utiliza una versión pirateada de la aplicación de ingeniería inversa IDA Pro, ampliamente utilizada, para comprometer los dispositivos de los investigadores con puertas traseras y troyanos de acceso remoto (RATs).
NukeSpeed RAT entregado a través de IDA Pro troyanizado
Según la investigación de ESET, los hackers de Lazarus están aprovechando la frugalidad de algunos profesionales de la seguridad que tienden a usar versiones pirateadas del software legítimo para no pagar por él. Esta vez los adversarios sedujeron a sus víctimas con una versión pirateada de la aplicación IDA Pro, frecuentemente utilizada por expertos en seguridad para propósitos de depuración.
Los actores de amenaza contaminaron la versión 7.5 de IDA Pro con dos DLLs maliciosas (idahelp.dll and win_fw.dll) destinadas a la entrega del NukeSpeed RAT. Las DLLs se ejecutan durante el proceso de instalación y crean una tarea especial a través del Programador de Tareas de Windows para descargar la carga útil de NukeSpeed. Tras la ejecución, el grupo Lazarus utiliza el RAT para capturar datos sensibles de las máquinas de los investigadores, tomar capturas de pantalla, registrar pulsaciones de teclas y ejecutar un conjunto de otros comandos maliciosos.
Actualmente, no está claro cómo se está distribuyendo la aplicación contaminada con malware, pero ESET cree que la campaña ha estado en curso desde principios de 2020.
APT de Lazarus
La amenaza persistente avanzada (APT) de Lazarus es un colectivo de hackers notorio que trabaja en nombre del gobierno de Corea del Norte. El grupo ha estado extremadamente activo desde 2009, lanzando sofisticadas campañas maliciosas dirigidas a la ganancia financiera e intervenciones políticas. Múltiples incidentes de seguridad innovadores están asociados con este actor de amenaza, incluidos la violación de Sony Pictures, el robo al Banco Central de Bangladesh y el ataque WannaCry.
Los expertos en ciberseguridad son uno de los principales objetivos de los hackers de Lazarus. Por ejemplo, en enero de 2021, el APT de Lazarus lanzó una operación maliciosa que utilizó un blog falso y una amplia red de cuentas falsas en redes sociales para infectar a los entusiastas de la caza de amenazas con malware.
Detección de IDA Pro Troyanizado
Para prevenir los ataques de Lazarus y detectar posibles actividades maliciosas asociadas con la versión troyanizada de la aplicación IDA Pro, puedes descargar un conjunto de reglas Sigma curadas ya disponibles en la plataforma SOC Prime. Todas las detecciones están directamente mapeadas al marco MITRE ATT&CK® y contienen las referencias y descripciones correspondientes:
Instalador de IDA Pro Troyanizado
Hackers de Lazarus Dirigiéndose a Investigadores de Seguridad con IDA Pro Troyanizado
Instalador de IDA Pro troyanizado distribuido por el grupo APT de Lazarus (vía creación de procesos)
Instalador de IDA Pro troyanizado, distribuido por el grupo APT de Lazarus
Explora la plataforma Detection as Code de SOC Prime para defenderte contra los ataques de manera más rápida y eficiente que nunca. Caza instantáneamente las últimas amenazas en más de 20 tecnologías SIEM XDR compatibles, aumenta la concienciación sobre todos los últimos ataques en el contexto de vulnerabilidades explotadas y la matriz MITRE ATT&CK, y agiliza tus operaciones de seguridad, mientras obtienes retroalimentación anonimizada de la comunidad global de ciberseguridad. ¿Entusiasta de crear tus propias reglas Sigma y obtener dinero por tu contribución? ¡Únete a nuestro Programa de Recompensas por Amenazas!
Ir a la Plataforma Únete al Programa de Recompensas por Amenazas
