Un groupe de piratage parrainé par l’État nord-coréen, connu sous le nom de Lazarus, tente à nouveau de pirater des chercheurs en sécurité, cette fois avec une version piratée par un cheval de Troie de la populaire application d’ingénierie inverse IDA Pro.
IDA Pro est une application qui convertit un exécutable en langage assembleur, permettant aux chercheurs en sécurité et aux programmeurs d’analyser le fonctionnement d’un programme et de découvrir des bugs potentiels.
Les chercheurs en sécurité utilisent couramment IDA pour analyser les logiciels légitimes à la recherche de vulnérabilités et de logiciels malveillants afin de déterminer le comportement malveillant qu’il exécute.
Cependant, comme IDA Pro est une application coûteuse, certains chercheurs téléchargent une version crackée piratée au lieu de l’acheter.
Comme pour tout logiciel piraté, il y a toujours le risque qu’il soit falsifié, modifié pour inclure des exécutables malveillants, ce qui est précisément ce que le chercheur d’ESET Anton Tcherepanov découvert dans une version piratée d’IDA Pro distribuée par le groupe de piratage Lazarus.
Trojanized IDA Pro cible les chercheurs en sécurité
Aujourd’hui, ESET a tweeté à propos d’une version malveillante d’IDA Pro 7.5 découverte par Tcherepanov qui est distribué en ligne pour cibler les chercheurs en sécurité.
Ce programme d’installation IDA a été modifié pour inclure deux DLL malveillantes nommées idahelp.dll et win_fw.dll qui seront exécutées lors de l’installation du programme.
Source : ESET
Le fichier win_fw.dll va créer une nouvelle tâche dans le planificateur de tâches Windows qui lance le programme idahelper.dll.
Source : ESET
Le idahelper.dll se connectera alors au devguardmap[.]org et télécharger des charges utiles considérées comme le cheval de Troie d’accès à distance NukeSped. Le RAT installé permettra aux acteurs de la menace d’accéder à l’appareil du chercheur en sécurité pour voler des fichiers, prendre des captures d’écran, enregistrer les frappes ou exécuter d’autres commandes.
« Sur la base du domaine et de l’application cheval de Troie, nous attribuons ce malware à une activité connue de Lazarus, précédemment signalée par le groupe d’analyse des menaces de Google et Microsoft », a tweeté ESET à propos de la connexion à Lazarus.
Cherepanov a déclaré à EZpublish-france.fr que bien qu’il ne sache pas comment le programme d’installation est distribué, il a été découvert récemment et semble avoir été distribué depuis le premier trimestre 2020
Lazare a l’habitude de cibler les chercheurs
Le groupe de piratage Lazarus, également connu sous le nom de Zinc par Microsoft, cible depuis longtemps les chercheurs en sécurité avec des portes dérobées et des chevaux de Troie d’accès à distance.
En janvier, Google a révélé que Lazarus avait mené une campagne sur les réseaux sociaux pour créer de faux personnages se faisant passer pour des chercheurs en vulnérabilité.
En utilisant ces personas, le groupe de piratage contacterait d’autres chercheurs en sécurité au sujet d’une collaboration potentielle dans la recherche sur les vulnérabilités.
Après avoir établi le contact avec un chercheur, les pirates envoyaient des projets Visual Studio liés à une prétendue « vulnérabilité », qui contenait une DLL cachée malveillante nommée « vcxproj.suo ».
Lorsque le chercheur tentait de construire le projet, un événement de pré-construction exécutait la DLL, qui agissait comme une porte dérobée personnalisée installée sur l’appareil du chercheur.
D’autres attaques Lazarus ont également utilisé un Internet Explorer zero-day pour déployer des logiciels malveillants sur les appareils des chercheurs en sécurité lorsqu’ils ont visité les liens envoyés par les attaquants.
Bien qu’il n’ait jamais été déterminé quel était le but ultime de ces attaques, il était probable qu’elles volent des vulnérabilités et des exploits de sécurité non divulgués que le groupe de piratage pourrait utiliser dans ses propres attaques.