Rilevamento di Installazioni IDA Pro Trojanizzate Distribuite dagli Hacker di Lazarus
Indice:
Il famigerato APT Lazarus colpisce ancora, con professionisti della sicurezza sotto attacco durante la campagna più recente. L’attore sponsorizzato dallo stato sfrutta una versione piratata dell’applicazione di reverse engineering IDA Pro, ampiamente utilizzata, per compromettere i dispositivi dei ricercatori con backdoor e trojan di accesso remoto (RAT).
NukeSpeed RAT Distribuito tramite IDA Pro Trojanizzato
Secondo la ricerca di ESET, gli hacker Lazarus stanno approfittando della frugalità di alcuni praticanti della sicurezza che tendono a utilizzare versioni cracked del software legittimo per non pagarlo. Questa volta gli avversari hanno attirato le loro vittime con una versione piratata dell’app IDA Pro, utilizzata frequentemente dagli esperti di sicurezza per scopi di debugging.
Gli attori delle minacce hanno inserito nel codice della versione 7.5 di IDA Pro due DLL dannose (idahelp.dll and win_fw.dll) mirate alla distribuzione di NukeSpeed RAT. Le DLL si eseguono durante il processo di installazione e creano un’attività speciale tramite il Task Scheduler di Windows per scaricare il payload di NukeSpeed. Una volta eseguito, il gruppo Lazarus sfrutta il RAT per sottrarre dati sensibili dai computer dei ricercatori, catturare schermate, registrare i tasti premuti ed eseguire una serie di altri comandi dannosi.
Attualmente, non è chiaro come venga distribuita l’app piena di malware, ma ESET ritiene che la campagna sia in corso dall’inizio del 2020.
APT Lazarus
La minaccia avanzata persistente (APT) Lazarus è un noto collettivo di hacker che opera per conto del governo nordcoreano. Il gruppo è stato estremamente attivo dal 2009, avviando campagne maligne sofisticate mirate al guadagno finanziario e a interventi politici. Numerosi incidenti di sicurezza rivoluzionari sono associati a questo attore di minaccia, inclusi l’attacco a Sony Pictures, la rapina alla Banca Centrale del Bangladesh e l’attacco WannaCry.
Gli esperti di cybersecurity sono tra i principali obiettivi degli hacker Lazarus. Ad esempio, a gennaio 2021, l’APT Lazarus ha lanciato un’operazione maligna che ha utilizzato un blog falso e una vasta rete di account falsi sui social media per infettare con malware gli appassionati di hunting delle minacce.
Rilevazione di IDA Pro Trojanizzato
Per prevenire gli attacchi di Lazarus e rilevare possibili attività maligne associate alla versione trojanizzata dell’app IDA Pro, è possibile scaricare un insieme di regole Sigma curate e già disponibili nella piattaforma SOC Prime. Tutte le rilevazioni sono direttamente mappate al framework MITRE ATT&CK® e contengono i riferimenti e le descrizioni corrispondenti:
Installer di IDA Pro Trojanizzato
IDA Pro Trojanizzato (tramite DNS)
Hackers Lazarus che prendono di mira i ricercatori di sicurezza con IDA Pro Trojanizzato
Installer di IDA Pro Trojanizzato Distribuito dal Gruppo APT Lazarus (tramite Creazione Processo)
Installer di IDA Pro Trojanizzato, Distribuito dal Gruppo APT Lazarus
Esplora la piattaforma Detection as Code di SOC Prime per difenderti dagli attacchi in modo più rapido ed efficiente che mai. Caccia all’istante le minacce più recenti all’interno di oltre 20 tecnologie SIEM XDR supportate, aumenta la consapevolezza di tutti gli attacchi più recenti nel contesto delle vulnerabilità sfruttate e della matrice MITRE ATT&CK, e semplifica le tue operazioni di sicurezza, ricevendo feedback anonimizzato dalla comunità globale di cybersecurity. Sei entusiasta di creare le tue regole Sigma e ricevere denaro per il tuo contributo? Unisciti al nostro Programma di Bounty di Minacce!
Vai alla piattaforma Unisciti al Programma di Bounty di Minacce
