Lazarus组织疑似扩充军火库?黑手伸向航空业及安全研究人员
Contents
近日,国外安全厂商 ESET 披露了一起 Lazarus 针对安全研究人员的投毒攻击事件,攻击者将恶意组件捆绑到 IDA Pro 安装包程序。IDA Pro 是 Hex-Rays 公司的旗舰产品,意为交互式反汇编器专业版,是最流行的静态反编译软件之一,用户大多是安全研究人员,部分用户由于正版售价昂贵而下载使用盗版程序,Lazarus正是利用这一点,向目标安全研究人员进行定向攻击,其主要目的可能为窃取安全研究人员手中的高价值 0Day 漏洞,用以扩充该组织军火库。 图24. 相关IDA安装包启动界面攻击者使用恶意的 dll 替换了 IDA Pro 安装包的内部组件 win_fw.dll。图25. 文件列表中的恶意模块win_fw.dll 将会创建 windows 计划任务,并启动另外一个恶意组件 idahelper.dll。