Detectando Instaladores Trojanizados do IDA Pro Distribuídos por Hackers do Lazarus

[post-views]
Novembro 17, 2021 · 4 min de leitura
Detectando Instaladores Trojanizados do IDA Pro Distribuídos por Hackers do Lazarus

O infame APT Lazarus ataca novamente, com profissionais de segurança sendo alvo durante a campanha mais recente. O ator patrocinado pelo estado utiliza uma versão pirateada do amplamente utilizado aplicativo de engenharia reversa IDA Pro para comprometer dispositivos de pesquisadores com backdoors e Trojans de acesso remoto (RATs).

NukeSpeed RAT entregue via IDA Pro Troianizado

De acordo com a pesquisa da ESET, hackers do Lazarus estão tirando proveito da frugalidade de alguns praticantes de segurança que tendem a usar versões crackeadas do software legítimo para não pagar por ele. Desta vez, os adversários atraíram suas vítimas com uma versão pirateada do aplicativo IDA Pro, frequentemente usado por especialistas em segurança para fins de depuração.

Os atores da ameaça infundiram a versão 7.5 do IDA Pro com duas DLLs maliciosas (idahelp.dll and win_fw.dll) destinadas à entrega do NukeSpeed RAT. As DLLs são executadas durante o processo de instalação e criam uma tarefa especial via o Agendador de Tarefas do Windows para baixar a carga do NukeSpeed. Após a execução, o grupo Lazarus utiliza o RAT para capturar dados sensíveis das máquinas dos pesquisadores, tirar screenshots, registrar digitações e executar um lote de outros comandos maliciosos.

Atualmente, não está claro como o aplicativo com malware está sendo distribuído, mas a ESET acredita que a campanha está em andamento desde o início de 2020.

APT Lazarus

A ameaça persistente avançada (APT) Lazarus é um notório coletivo de hackers que trabalha em nome do governo da Coreia do Norte. O grupo tem sido extremamente ativo desde 2009, lançando campanhas maliciosas sofisticadas com o objetivo de ganhos financeiros e intervenções políticas. Múltiplos incidentes de segurança revolucionários estão associados a este ator de ameaça, incluindo a violação da Sony Pictures, o assalto ao Banco Central de Bangladesh e o ataque WannaCry.

Especialistas em cibersegurança estão entre os principais alvos dos hackers Lazarus. Por exemplo, em janeiro de 2021, o APT Lazarus lançou uma operação maliciosa que usou um blog falso e uma ampla rede de contas falsas em mídias sociais para infectar entusiastas de caça às ameaças com malware.

Detecção do IDA Pro Troianizado

Para prevenir ataques Lazarus e detectar possíveis atividades maliciosas associadas à versão troianizada do aplicativo IDA Pro, você pode baixar um conjunto de regras Sigma cuidadosamente selecionadas já disponíveis na plataforma SOC Prime. Todas as detecções estão diretamente mapeadas para o framework MITRE ATT&CK® e contêm as referências e descrições correspondentes:

Instalador do IDA Pro Troianizado

IDA Pro Troianizado (via dns)

Hackers do Lazarus Mirando em Pesquisadores de Segurança com IDA Pro Troianizado

Instalador do IDA Pro Troianizado Distribuído pelo Grupo APT Lazarus (via Criação de Processo)

Instalador do IDA Pro Troianizado, Distribuído pelo Grupo APT Lazarus

Explore a plataforma Detection as Code da SOC Prime para se defender contra ataques mais rapidamente e de forma mais eficiente do que nunca. Procure instantaneamente as últimas ameaças dentro de mais de 20 tecnologias SIEM XDR suportadas, aumente a conscientização sobre todos os últimos ataques no contexto de vulnerabilidades exploradas e a matriz MITRE ATT&CK, e otimize suas operações de segurança, enquanto obtém feedback anonimizado da comunidade global de cibersegurança. Entusiasmado para criar suas próprias regras Sigma e ganhar dinheiro por sua contribuição? Junte-se ao nosso Programa de Recompensa por Ameaças!

Ir para a Plataforma Junte-se ao Programa de Recompensa por Ameaças

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.