Интернэтийн аюулгүй байдлын “ESET” компанийн судлаачид Lazarus APT халдлагын бүлэглэл IDA Pro кодчиллын программд аюулгүйн цоорхой суулгасныг илрүүлжээ.
IDA Pro программ нь машины кодыг ассемблер хэлэнд хөрвүүлж хортой кодын шинжээчид, кибер аюулгүй байдал судлаачдыг хортой программын дотоод ажиллагааг ойлгох, алдааг илрүүлэх, дебаг хийхэд тусалдаг.
APT бүлэглэл IDA Pro программыг суулгах явцад ашиглагддаг бүрэлдэхүүн хэсэг болох win_fw.dll файлыг хортой DLL файлаар сольсон ба энэ нь Windows Task Scheduler-т дараагийн хортой үйлдлийг гүйцэтгэх pluginsidahelper.dll-ыг дуудах даалгаврыг үүсгэж өгдөг байна.
Зураг 1. pluginsidahelper.dll-ыг дуудах даалгавар үүсгэсэн байдал
Харин idahelper.dll файл нь https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01 холбоосоор дараагийн шатны хорт файлыг татдаг байхаар программчлагдсан байна.
Домайн хаяг болон хортой файлуудыг шинжилж үзээд дээрх ажиллагааг Lazarus APT бүлэглэл хийсэн болох нь тогтоогджээ. Тус бүлэглэлийн талаарх мэдээлэл хомс байдаг ч судлаачид 2010–2021 онд үйлдэгдсэн олон кибер халдагыг тэдэнтэй холбон тайлбарлаж байгаа аж. Мөн АНУ-ын Холбооны мөрдөх товчооноос Lazarus бүлэглэлийг Хойд Солонгосын засгийн газрын дэмжлэгтэй хакерын бүлэг гэж мэдэгджээ.
Lazarus APT бүлэглэлийн үйлдсэн дуулиант хэргүүд:
- Эквадорын Banco del Austro-оос 12 сая ам.доллар хулгайлав.
- Вьетнамын Tien Phong банкнаас 1 сая ам.доллар хулгайлав.
- Бангладешийн банкнаас 81 сая ам.долларыг хулгайлав.
- Тайваний Far Eastern International банкнаас 60 сая ам.долларыг хулгайлав.
Эх сурвалж:
https://www.redpacketsecurity.com/
https://thehackernews.com/