Северокорейская Lazarus Group была замечена за развертыванием руткита для Windows, используя эксплойт в драйвере прошивки Dell, что свидетельствует о новой тактике этой хакерской группировки.
Атака «Bring Your Own Vulnerable Driver (BYOVD)», которая произошла осенью 2021 года, является еще одним вариантом шпионской кампании под названием Operation In(ter)ception, направленной против предприятий аэрокосмической и оборонной промышленности.
«Кампания началась с фишинговых писем, содержащих вредоносные документы на тему Amazon, и была направлена на сотрудника аэрокосмической компании в Нидерландах и политического журналиста в Бельгии» - сообщил исследователь ESET Питер Калнай.
Цепочка атаки разворачивалась после открытия документов-приманок, что приводило к распространению вредоносных дропперов, представляющих собой троянизированные версии проектов с открытым исходным кодом, что подтверждает недавние отчеты от Google's Mandiant и Microsoft.
Компания ESET заявила, что обнаружила доказательства того, что Lazarus распространяла троянизированные версии FingerText и sslSniffer, компонента библиотеки wolfSSL, в дополнение к HTTP-загрузчикам.
В атаках также использовался избранный бэкдор группы под названием BLINDINGCAN - также известный как AIRDRY и ZetaNile - который оператор может использовать для контроля и изучения взломанных систем.
Но в атаках 2021 года примечателен модуль руткита, который использовал дефект драйвера Dell для получения возможности читать и записывать память ядра. Уязвимость, отслеживаемая как CVE-2021-21551, относится к набору критических уязвимостей повышения привилегий в dbutil_2_3.sys.
«Это первое зарегистрированное злоупотребление уязвимостью CVE-2021-21551» - отметил Калнаи. «Данный инструмент, в сочетании с уязвимостью, отключает мониторинг всех решений безопасности на взломанных машинах».
Названная «FudModule» ранее не документированная вредоносная программа достигает своих целей с помощью нескольких методов, «либо не известных ранее, либо знакомых только специализированным исследователям безопасности и разработчикам античитов», согласно ESET.
«Затем злоумышленники использовали доступ к записи в память ядра, чтобы отключить семь механизмов, которые операционная система Windows предлагает для мониторинга своих действий, таких как реестр, файловая система, создание процессов, отслеживание событий и т.д., по сути, ослепляя решения безопасности очень общим и надежным способом» - сообщает Калнаи. «Несомненно, это потребовало глубоких навыков исследования ОС, разработки и тестирования».
Это не первый случай, когда злоумышленники прибегают к использованию уязвимого драйвера для проведения своих руткит-атак. Только в прошлом месяце в компанией AhnLab было подробно описано использование легитимного драйвера, известного как «ene.sys», для отколючения программного обеспечения безопасности, установленного на компьютерах.
Полученные результаты демонстрируют упорство и способность Lazarus Group внедрять инновации и менять тактику по мере необходимости на протяжении многих лет, несмотря на пристальное внимание к деятельности группировки со стороны правоохранительных органов и более широкого исследовательского сообщества.
«Разнообразие, количество и эксцентричность в реализации кампаний Lazarus определяют эту группу, а также то, что она выполняет все три столпа деятельности киберпреступников: кибершпионаж, киберсаботаж и преследование финансовой выгоды» - заявили в компании.
Источник: https://thehackernews.com
