朝鲜黑客用木马程序IDA Pro攻击网络安全研究人员

隶属于朝鲜的国家赞助组织Lazarus正试图再次利用后门和远程访问特洛伊木马攻击安全研究人员，该木马使用流行的IDA Pro反向工程软件的特洛伊盗版版本。

ESET安全研究员安东·切雷帕诺夫上周在一系列推文中报道了这一发现。

IDA Pro是一款交互式反汇编程序，旨在将机器语言（又名可执行文件）转换为汇编语言，使安全研究人员能够分析程序的内部工作（恶意或其他）以及作为调试器检测错误的功能。

“攻击者将[Hex Rays]开发的原始IDA Pro 7.5软件与两个恶意组件捆绑在一起，”这家斯洛伐克网络安全公司说，其中一个是名为“win_fw.dll”的内部模块，该模块在应用程序安装期间执行。然后对这个被篡改的版本进行编排，以便从系统上的IDA插件文件夹中加载第二个名为“IDAHeloper.dll”的组件。

成功执行后，“IDaheloper.dll”二进制文件将连接到“www[.”上的远程服务器devguardmap[.]该域名还值得注意的一个事实是，它之前曾与一场类似的朝鲜支持的针对安全专业人士的活动相关联，并在今年3月早些时候被谷歌的威胁分析小组披露。

The covert operation involved the adversaries setting up a fake security company known as SecuriElite alongside a number of social media accounts across Twitter and LinkedIn in an attempt to trick unsuspecting researchers into visiting the company's malware-laced website so as to trigger an exploit that leveraged a then zero-day in Internet Explorer browser. Microsoft eventually addressed the issue in its Patch Tuesday update for March 2021.

Lazarus集团也被称为APT38、隐藏眼镜蛇和锌，早在2009年就活跃起来，并与一系列为获取财务利益和从受损环境中获取敏感信息的攻击有关。

“朝鲜的网络计划造成了越来越多的间谍、偷窃和攻击威胁，”根据今年四月早些时候公布的《国家情报2021年度威胁评估》的美国办公室。

“朝鲜对世界各地的金融机构和加密货币交易所进行了网络盗窃，可能窃取数亿美元，可能是为了资助政府的优先事项，如其核计划和导弹计划。”