ラザルスハッカーによって配布されたトロイの木馬化されたIDA Proインストーラーの検出

悪名高いラザルスAPTが再び攻撃し、最近のキャンペーンでセキュリティプロフェッショナルが標的にされています。国家支援の攻撃者は、広く使用されているIDA Pro逆アプリケーションの海賊版を利用して、研究者のデバイスをバックドアおよびリモートアクセス型トロイの木馬（RAT）で侵害します。

NukeSpeed RAT、トロイ化されたIDA Proを通じて配信される

ESETの 研究によると、ラザルスのハッカーは、多くのセキュリティ実務者が正当なソフトウェアを割れたバージョンで使用しようとする節約の精神を利用しています。今回は、セキュリティ専門家がデバッグ目的で頻繁に使用するIDA Proアプリの海賊版で被害者を誘い込みました。

脅威アクターは、IDA Pro 7.5バージョンに2つの悪意あるDLL（idahelp.dll and win_fw.dll）を組み込み、NukeSpeed RATの配信を狙いました。インストールプロセス中にDLLが実行され、Windowsタスクスケジューラを介して特別なタスクを作成し、NukeSpeedペイロードをダウンロードします。実行後、ラザルスグループは研究者のマシンから機密データを取得し、スクリーンショットを撮り、キーストロークを記録し、他の悪意あるコマンドを実行します。

現在、マルウェアが組み込まれたアプリがどのように配布されているかは不明ですが、ESETはこのキャンペーンが2020年初頭から進行中であると信じています。

ラザルスAPT

ラザルス高度持続的脅威（APT）は、北朝鮮政府のために活動する悪名高いハッカー集団です。このグループは2009年以来非常に活発で、金融利益や政治干渉を目的とした高度な悪意あるキャンペーンを起動しています。ソニー・ピクチャーズ侵害、バングラデシュ中央銀行強盗、ワナクライ攻撃など、この脅威アクターに関連する複数の画期的なセキュリティ事件があります。

サイバーセキュリティの専門家は、ラザルスハッカーの主要なターゲットの一つです。たとえば、2021年1月にラザルスAPTは、 偽のブログと広範な偽のソーシャルメディアアカウントのネットワークを利用する 悪意ある操作を開始し、脅威ハンティングの愛好家にマルウェアを感染させました。

トロイ化されたIDA Pro検出

ラザルス攻撃を防ぎ、トロイ化されたIDA Proアプリに関連する悪意ある活動を検出するために、SOC Primeプラットフォームで既に利用可能なキュレーション済みのSigmaルールをダウンロードできます。すべての検出はMITRE ATT&CK®フレームワークに直接マッピングされ、対応する参考文献や説明が含まれています。

トロイ化されたIDA Proインストーラー

トロイ化されたIDA Pro（DNS経由）

ラザルスハッカー、セキュリティ研究者をトロイ化されたIDA Proで狙う

ラザルスAPTグループによって配布されたトロイ化されたIDA Proインストーラー（プロセス作成経由）

ラザルスAPTグループによって配布されるトロイ化されたIDA Proインストーラー

攻撃に対抗するために、SOC PrimeのDetection as Codeプラットフォームを利用してください。20以上のサポートされたSIEM XDR技術内で最新の脅威を即時にハントし、悪用された脆弱性やMITRE ATT&CKマトリックスの文脈で最新の攻撃に対する意識を高め、セキュリティオペレーションを体系化しながら世界のサイバーセキュリティコミュニティからの匿名フィードバックを得ます。あなた自身のSigmaルールを作成し、貢献に対して報酬を受け取りたいですか？私たちのThreat Bountyプログラムに参加してください！

プラットフォームに移動 Threat Bountyに参加