Hackerii exploatează vulnerabilitatea driverului Dell pentru a implementa un rootkit
https://thehackernews.com
Atacul Bring Your Own Vulnerable Driver (BYOVD), care a avut loc în toamna anului 2021 și a mai fost numit Operation In(ter)ception, are ca țintă principală industria aerospațială și cea de apărare.
„Campania a început cu e-mailuri de spear-phishing care conțineau documente malițioase cu tematica Amazon și a vizat un angajat al unei companii aerospațiale din Olanda, precum și un jurnalist politic din Belgia”, a declarat Peter Kálnai, cercetător ESET.
Lanțurile de atac s-au desfășurat începând cu deschiderea documentelor malițioase, ducând la distribuirea unor droppere malițioase care erau versiuni trojanizate ale unor proiecte open source, ceea ce coroborează rapoartele recente ale Google’s Mandiant și Microsoft.
ESET a declarat că a descoperit dovezi ale faptului că Lazarus a distribuit weaponized versions ale FingerText și sslSniffer, o componentă a bibliotecii wolfSSL.
De asemenea, intruziunile au deschis calea pentru backdoor-ul ales de grup, denumit BLINDINGCAN – cunoscut și sub numele de AIRDRY și ZetaNile – pe care un operator îl poate folosi pentru a controla și explora sistemele compromise.
Dar ceea ce este notabil la atacurile din 2021 a fost un modul rootkit care a exploatat o vulnerabilitate a driverului Dell pentru a obține capacitatea de a citi și scrie în memoria kernel-ului. CVE-2021-21551, se referă la un set de vulnerabilități critice de escaladare a privilegiilor în dbutil_2_3.sys.
„Atacatorii și-au folosit apoi accesul de scriere în memoria kernel-ului pentru a dezactiva șapte mecanisme pe care sistemul de operare Windows le oferă pentru a monitoriza acțiunile sale, cum ar fi registrele, sistemul de fișiere, crearea de procese, urmărirea evenimentelor etc. „, a declarat Kálnai.
Nu este prima dată când grupul Lazarus a folosit un driver vulnerabil pentru a implementa rootkit. Chiar luna trecută( septembrie 2022), AhnLab’s ASEC a detaliat exploatarea unui driver legitim cunoscut sub numele de „ene.sys” pentru a dezactiva software-ul de securitate instalat pe mașini.
Aceste acțiuni demonstrează capacitatea Grupului Lazarus de a inova și de a-și schimba tacticile în funcție de necesități de-a lungul anilor.
Sursa: https://thehackernews.com/2022/10/hackers-exploiting-dell-driver.html
