朝鲜黑客组织在IDA Pro植入木马，针对安全研究人员APT攻击

朝鲜国家资助的黑客组织 Lazarus 正试图在主流的逆向工程软件 IDA Pro 中植入木马，通过传播带有木马的盗版IDA Pro针对安全研究人员进行持续威胁。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，IDA Pro 是一种交互式反汇编程序，旨在将机器语言（也称为可执行文件）翻译成汇编语言，使安全研究人员能够分析程序的内部工作，并作为调试器来检测错误。

攻击者将原始 IDA Pro 7.5版本软件与两个恶意组件捆绑在一起，其中一个是名为 win_fw.dll 的内部模块，该模块在应用程序安装期间执行。这个被篡改的版本随后被编排以从系统上的 IDA 插件文件夹加载名为 idahelper.dll 的第二个组件。

成功执行后，idahelper.dll 二进制文件连接到位于 www.devguardmap.org 的远程服务器以检索后续有效攻击载荷。该域名还值得注意的是，它之前曾与类似的朝鲜支持的针对安全专业人士的活动有关，并于今年 3 月初由谷歌的威胁分析小组披露。

该恶意行动涉及对手建立了一家名为SecuriElite的虚假安全公司以及 Twitter 和 LinkedIn 上的多个社交媒体帐户，试图诱骗毫无戒心的安全研究人员访问该公司带有恶意软件的网站，从而触发利用然后在 Internet Explorer 浏览器中使用 0day。

朝鲜的网络计划带来了越来越多的间谍活动，窃取和攻击的威胁，朝鲜对全球的金融机构和加密货币交易所进行了网络盗窃，可能窃取数亿美元，可能是为了资助政府的优先事项，例如其核计划和导弹计划。