根据杀毒软件厂商 ESET Research 的消息,APT 组织 Lazarus 又有新花样了。
Lazarus 此前曾在社交网络上伪装研究员和社区套近乎,发送恶意 Visual Studio 工程文件,甚至浏览器 0day 的方式,试图入侵安全研究员的电脑。(前情提要:胖胖胖家的社工黑客又被封号了)
1#详细情况
这一次,他们选择给 IDA Pro 的安装包投毒。这个恶意的 IDA Pro 安装包对应版本 Windows 下的 7.5:
安装包里的 idahelper.dll 和 win_fw.dll 被篡改植入后门。运行之后尝试联网下载一段载荷执行:
感染后添加计划任务做持久化:
本文系转载,原文请看:https://twitter.com/esetresearch/status/1458438155149922312
发表评论