Los piratas informáticos norcoreanos apuntan a los investigadores de seguridad cibernética con IDA Pro troyanizado

09:28 16/11/2021 | Lượt xem

IDA Pro

Lazarus, el grupo patrocinado por el estado afiliado a Corea del Norte, está nuevamente tratando de atacar a los investigadores de seguridad con puertas traseras y troyanos de acceso remoto utilizando una versión pirateada del popular software de ingeniería inversa IDA Pro.

Los descubrimientos fueron informó por el investigador de seguridad de ESET Anton Cherepanov la semana pasada en una serie de tweets.

IDA Pro es un desensamblador interactivo diseñado para traducir el lenguaje de la máquina (también conocido como ejecutables) al lenguaje ensamblador, lo que permite a los investigadores de seguridad analizar el funcionamiento interno de un programa (malicioso o no) y también actuar como depurador para detectar errores.

Copias de seguridad automáticas de GitHub

“Los atacantes han incluido el software IDA Pro 7.5 original desarrollado por [Hex-Rays] con dos componentes maliciosos “, dijo la empresa de ciberseguridad eslovaca, uno de los cuales es un módulo interno llamado” win_fw.dll “que se ejecuta durante la instalación de la aplicación. Esta versión manipulada se orquesta luego para cargar un segundo componente llamado” idahelper .dll “desde el Carpeta de complementos IDA en el sistema.

Después de una ejecución exitosa, el binario “idahelper.dll” se conecta a un servidor remoto en “www[.]devguardmap[.]org “para recuperar cargas útiles posteriores. El dominio también es notable porque anteriormente estaba vinculado a una campaña similar respaldada por Corea del Norte dirigida a profesionales de la seguridad y lanzada por el Grupo de Análisis de Amenazas de Google a principios de marzo.

IDA Pro

La operación encubierta involucró a adversarios que creaban una compañía de seguridad falsa conocida como SecuriElite junto con una serie de cuentas de redes sociales en Twitter y LinkedIn en un intento de engañar a los investigadores desprevenidos para que visitaran el sitio web de malware de la compañía para desencadenar un exploit que aprovechó un día cero en Navegador Internet Explorer. Microsoft finalmente solucionó el problema en su actualización del martes de parches de marzo de 2021.

Evite las filtraciones de datos

También conocido por los apodos APT38, Hidden Cobra y Zinc, el Grupo Lazarus es conocido por estar activo a principios de 2009 y vinculado a una serie de ataques para obtener ganancias financieras y recopilación de información confidencial de entornos comprometidos.

“El programa cibernético de Corea del Norte plantea una amenaza creciente de espionaje, robo y ataque”, según la Evaluación Anual de Amenazas 2021 de la Oficina del Director de Inteligencia Nacional de EE. UU., Publicada a principios de abril.

“Corea del Norte ha realizado robos cibernéticos contra instituciones financieras e intercambios de criptomonedas en todo el mundo, robando potencialmente cientos de millones de dólares, probablemente para financiar prioridades gubernamentales como sus programas nucleares y de misiles”.

Related Posts

lên đầu trang