Détecter les Installateurs IDA Pro Trojanisés Distribués par les Hackers Lazarus
Table des matières :
Le tristement célèbre groupe APT Lazarus frappe à nouveau, avec des professionnels de la sécurité sous attaque lors de la campagne la plus récente. Cet acteur parrainé par l’État utilise une version piratée de l’application de rétro-ingénierie IDA Pro, largement utilisée par les professionnels, pour compromettre les appareils des chercheurs avec des portes dérobées et des chevaux de Troie d’accès à distance (RAT).
NukeSpeed RAT livré via une version trojanisée d’IDA Pro
Selon la recherche d’ESET, les hackers Lazarus profitent de la frugalité de certains praticiens de la sécurité qui ont tendance à utiliser des versions crackées du logiciel légitime pour ne pas le payer. Cette fois, les adversaires ont appâté leurs victimes avec une version piratée de l’application IDA Pro, fréquemment utilisée par les experts en sécurité à des fins de débogage.
Les acteurs de la menace ont injecté la version 7.5 d’IDA Pro avec deux DLL malveillantes (idahelp.dll and win_fw.dll) destinées à livrer le NukeSpeed RAT. Les DLL s’exécutent lors du processus d’installation et créent une tâche spéciale via le Planificateur de tâches Windows pour télécharger la charge utile NukeSpeed. Une fois exécuté, le groupe Lazarus utilise le RAT pour récupérer des données sensibles des ordinateurs des chercheurs, prendre des captures d’écran, enregistrer les frappes et exécuter une série d’autres commandes malveillantes.
Actuellement, il est peu clair comment l’application infectée par un logiciel malveillant est distribuée, mais ESET croit que la campagne est en cours depuis début 2020.
Lazarus APT
La menace persistante avancée (APT) Lazarus est un collectif de hackers notoires travaillant pour le compte du gouvernement nord-coréen. Le groupe est extrêmement actif depuis 2009, lançant des campagnes malveillantes sophistiquées visant à obtenir des gains financiers et à mener des interventions politiques. De nombreux incidents de sécurité révolutionnaires sont associés à cet acteur de la menace, y compris la violation de Sony Pictures, le braquage de la Banque centrale du Bangladesh et l’attaque WannaCry.
Les experts en cybersécurité sont parmi les cibles clés des hackers Lazarus. Par exemple, en janvier 2021, le groupe APT Lazarus a lancé une opération malveillante qui a utilisé un faux blog et un vaste réseau de faux comptes de médias sociaux pour infecter des passionnés de chasse aux menaces avec des logiciels malveillants.
Détection de l’IDA Pro trojanisée
Pour prévenir les attaques Lazarus et détecter les activités malveillantes possibles associées à la version trojanisée de l’application IDA Pro, vous pouvez télécharger un ensemble de règles Sigma préparées déjà disponibles sur la plateforme SOC Prime. Toutes les détections sont directement mappées au cadre MITRE ATT&CK® et contiennent les références et descriptions correspondantes :
Installateur d’IDA Pro trojanisé
Hackers Lazarus ciblant les chercheurs en sécurité avec un IDA Pro trojanisé
Installateur d’IDA Pro trojanisé distribué par le groupe APT Lazarus (via la création de processus)
Installateur d’IDA Pro trojanisé, distribué par le groupe APT Lazarus
Explorez la plateforme Detection as Code de SOC Prime pour vous défendre contre les attaques plus rapidement et plus efficacement que jamais. Chassez instantanément les menaces les plus récentes au sein de plus de 20 technologies SIEM XDR prises en charge, augmentez la sensibilisation à toutes les dernières attaques dans le contexte des vulnérabilités exploitées et de la matrice MITRE ATT&CK, et rationalisez vos opérations de sécurité, tout en obtenant des retours anonymisés de la communauté mondiale de la cybersécurité. Enthousiaste à l’idée de créer vos propres règles Sigma et de gagner de l’argent pour votre contribution ? Rejoignez notre programme de récompense Threat Bounty !
Accéder à la plateforme Rejoindre le programme de récompense Threat Bounty
