Redazione RHC : 9 Ottobre 2022 08:58
Gli esperti ESET hanno scoperto che il gruppo nordcoreano Lazarus utilizza la tecnica di abuso del driver Dell. Ciò consente al malware di aggirare le protezioni del sistema operativo con driver noti per essere vulnerabili, poiché la maggior parte dei driver ha automaticamente accesso al kernel del sistema operativo. In questo modo, gli hacker distribuiscono un rootkit di Windows sui sistemi delle loro vittime.
Secondo i ricercatori, questa campagna di spear-phishing di Lazarus si è svolta nell’autunno del 2021, verso un esperto aerospaziale nei Paesi Bassi e un giornalista politico in Belgio.
Le due persone, hanno ricevuto offerte di lavoro fasulle per posta, che si presume provenissero da Amazon, e l’apertura di quei documenti avrebbe scaricato un modello remoto da un indirizzo codificato.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Successivamente, la macchina della vittima è stata infettata utilizzando loader dannosi, dropper, backdoor personalizzate e così via.
ESET riporta che il più interessante tra gli strumenti utilizzati in questa campagna era il rootkit FudModule, che utilizzava la tecnica BYOVD sopra menzionata e abusa della vulnerabilità CVE-2021-21551 in un driver legittimo per l’hardware Dell.
“Questo è stato il primo abuso segnalato di questa vulnerabilità. Gli aggressori hanno quindi utilizzato l’accesso alla memoria del kernel per disabilitare una serie di meccanismi utilizzati dal sistema operativo Windows per monitorare le attività, inclusi il registro, il file system, la creazione di processi, il rilevamento degli eventi e così via.”
affermano gli esperti.
Lascia che ti ricordi che la vulnerabilità CVE-2021-21551 nel driver Dell dbutil_2_3.sys è divenuta nota a metà del 2021 e che a quel punto Lazarus ovviamente erano già a conoscenza di questo problema e ne hanno attivamente abusato.
ESET afferma inoltre che durante questi attacchi, il gruppo di hacker ha utilizzato la sua backdoor “proprietaria” BLINDINGCAN, scoperta per la prima volta nel 2022 e descritta in dettaglio dagli analisti di Kaspersky Lab nel 2021.
Altri strumenti implementati in questa campagna sono il rootkit FudModule descritto in precedenza, un downloader HTTP(S) utilizzato per rubare dati in modo sicuro e varie applicazioni open source trojanizzate, tra cui wolfSSL e FingerText.
RedazioneAlla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...
Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...
Negli ultimi mesi, il dibattito sull’intelligenza artificiale ha assunto toni sempre più estremi. Da un lato, le grandi aziende che sviluppano e vendono soluzioni AI spingono narrazioni ap...
