朝鮮APT組織Lazarus又又又對安全人員發起攻擊

摘要

2021年11月10日，國外安全廠商ESET發布推文，曝光朝鮮APT組織Lazarus的最新攻擊活動，該組織在分發IDA Pro 7.5軟件安裝包中植入兩個惡意組件，意圖針對安全研究人員。

此前，獵影實驗室也發現了該組織相關賬戶的一些攻擊活動，并發現該組織利用漏洞研究相關內容建立賬戶信任感，以進一步圈定攻擊目標，發起攻擊。其中，我們在今年5月觀察到的0Day漏洞CVE-2021-33739就是一個十分誘人的素材。

簡況

Lazarus組織長期以來一直利用后門和遠程訪問木馬來攻擊安全研究人員。2021年年初，研究人員曾披露Lazarus組織以漏洞研究合作為幌子，針對安全研究人員的網絡攻擊活動。近日，Lazarus再次試圖針對安全研究人員展開攻擊，而這次使用的誘餌是流行的 IDA Pro逆向工程應用程序的木馬化版本。

IDA Pro 是一種靜態反編譯應用程序，安全研究人員和程序員可以使用 IDA 來分析合法軟件的漏洞。由于IDA Pro費用昂貴，因此一些研究人員會下載盜版破解版程序。11月10日，ESET披露了針對安全研究人員分發的IDA Pro 7.5的惡意版本。

攻擊過程

IDA Pro安裝包里的 idahelper.dll 和 win_fw.dll 文件已被攻擊者修改為惡意DLL。這兩個惡意組件將在安裝程序中執行。修改的惡意DLL如下圖：

惡意win_fw.dll 會在Windows 任務計劃程序中創建一個計劃任務，然后從 IDA Plugins插件文件夾中執行 idahelper.dll惡意組件。

一旦啟動，idahelper.dll 會嘗試從 https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 下載執行下一階段的payload。

該payload被認為是Lazarus組織之前使用的NukeSped RAT遠控木馬，攻擊者可以通過安裝的 RAT 訪問研究人員的設備，從而竊取文件、截取屏幕截圖、記錄擊鍵或執行進一步的命令。

最后，ESET團隊基于網絡指標和攻擊中使用的惡意軟件，以及谷歌和微軟的報告，將本次攻擊歸因到Lazarus組織。

關聯分析

獵影實驗室在5月捕獲一個未知windows內核0day樣本（也就是后來的CVE-2021-33739）的時候就發現，名為“mavillon1”的用戶就曾在github發布過一個類似代碼，當時我們就對用戶“mavillon1”產生了懷疑。

而在今年8月初，，ID為“mavillon1”的推特用戶在轉發盜版IDA Pro 7.6的時，又再一次引起我們的注意。

目前，推特用戶mavillon1已暫停使用。

綜上所述，獵影實驗室以高置信度將2021年5月的CVE-2021-33739野外漏洞利用攻擊活動歸因到Lazarus組織，關于該漏洞的詳細分析可移步至參考鏈接。

總結

Lazarus組織長期以來就有針對安全研究人員的攻擊歷史，其目的可能是想竊取未公開的漏洞研究成果，以升級其武器庫。并且通過一些漏洞研究、POC、EXP內容吸引研究者，這些攻擊都展現出其針對性以及迷惑性。我們也懷疑該組織在以往攻擊中成功偷盜了一些比較有價值的漏洞研究相關的內容。安全研究人員在日常的研究及互聯網社交中，應保持警惕。

IOC

A8EF73CC67C794D5AA860538D66898868EE0BEC0（win_fw.dll）

DE0E23DB04A7A780A640C656293336F80040F387（idahelper.dll）

devguardmap[.]org 

https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01

文章參考

ESET廠商推文鏈接

https://twitter.com/esetresearch/status/1458438155149922312

《又捕獲到一個0day！安恒威脅情報中心再次發力，漏洞可影響最新版WIN10》

https://mp.weixin.qq.com/s/ZjJ4kXOCTSez2erVKYzKbg