Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 9 Ottobre 2022 08:58
Gli esperti ESET hanno scoperto che il gruppo nordcoreano Lazarus utilizza la tecnica di abuso del driver Dell. Ciò consente al malware di aggirare le protezioni del sistema operativo con driver noti per essere vulnerabili, poiché la maggior parte dei driver ha automaticamente accesso al kernel del sistema operativo. In questo modo, gli hacker distribuiscono un rootkit di Windows sui sistemi delle loro vittime.
Secondo i ricercatori, questa campagna di spear-phishing di Lazarus si è svolta nell’autunno del 2021, verso un esperto aerospaziale nei Paesi Bassi e un giornalista politico in Belgio.
Le due persone, hanno ricevuto offerte di lavoro fasulle per posta, che si presume provenissero da Amazon, e l’apertura di quei documenti avrebbe scaricato un modello remoto da un indirizzo codificato.
Successivamente, la macchina della vittima è stata infettata utilizzando loader dannosi, dropper, backdoor personalizzate e così via.
ESET riporta che il più interessante tra gli strumenti utilizzati in questa campagna era il rootkit FudModule, che utilizzava la tecnica BYOVD sopra menzionata e abusa della vulnerabilità CVE-2021-21551 in un driver legittimo per l’hardware Dell.
“Questo è stato il primo abuso segnalato di questa vulnerabilità. Gli aggressori hanno quindi utilizzato l’accesso alla memoria del kernel per disabilitare una serie di meccanismi utilizzati dal sistema operativo Windows per monitorare le attività, inclusi il registro, il file system, la creazione di processi, il rilevamento degli eventi e così via.”
affermano gli esperti.
Lascia che ti ricordi che la vulnerabilità CVE-2021-21551 nel driver Dell dbutil_2_3.sys è divenuta nota a metà del 2021 e che a quel punto Lazarus ovviamente erano già a conoscenza di questo problema e ne hanno attivamente abusato.
ESET afferma inoltre che durante questi attacchi, il gruppo di hacker ha utilizzato la sua backdoor “proprietaria” BLINDINGCAN, scoperta per la prima volta nel 2022 e descritta in dettaglio dagli analisti di Kaspersky Lab nel 2021.
Altri strumenti implementati in questa campagna sono il rootkit FudModule descritto in precedenza, un downloader HTTP(S) utilizzato per rubare dati in modo sicuro e varie applicazioni open source trojanizzate, tra cui wolfSSL e FingerText.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
