Lazarus distribuisce rootkit utilizzando i driver della Dell

Redazione RHC : 9 Ottobre 2022 08:58

Gli esperti ESET hanno scoperto che il gruppo nordcoreano Lazarus utilizza la tecnica di abuso del driver Dell. Ciò consente al malware di aggirare le protezioni del sistema operativo con driver noti per essere vulnerabili, poiché la maggior parte dei driver ha automaticamente accesso al kernel del sistema operativo. In questo modo, gli hacker distribuiscono un rootkit di Windows sui sistemi delle loro vittime.

Secondo i ricercatori, questa campagna di spear-phishing di Lazarus si è svolta nell’autunno del 2021, verso un esperto aerospaziale nei Paesi Bassi e un giornalista politico in Belgio.

Le due persone, hanno ricevuto offerte di lavoro fasulle per posta, che si presume provenissero da Amazon, e l’apertura di quei documenti avrebbe scaricato un modello remoto da un indirizzo codificato. 

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Successivamente, la macchina della vittima è stata infettata utilizzando loader dannosi, dropper, backdoor personalizzate e così via.

ESET riporta che il più interessante tra gli strumenti utilizzati in questa campagna era il rootkit FudModule, che utilizzava la tecnica BYOVD sopra menzionata e abusa della vulnerabilità CVE-2021-21551 in un driver legittimo per l’hardware Dell.

“Questo è stato il primo abuso segnalato di questa vulnerabilità. Gli aggressori hanno quindi utilizzato l’accesso alla memoria del kernel per disabilitare una serie di meccanismi utilizzati dal sistema operativo Windows per monitorare le attività, inclusi il registro, il file system, la creazione di processi, il rilevamento degli eventi e così via.”

affermano gli esperti.

Lascia che ti ricordi che la vulnerabilità CVE-2021-21551 nel driver Dell dbutil_2_3.sys è divenuta nota a metà del 2021 e che a quel punto Lazarus ovviamente erano già a conoscenza di questo problema e ne hanno attivamente abusato.

ESET afferma inoltre che durante questi attacchi, il gruppo di hacker ha utilizzato la sua backdoor “proprietaria” BLINDINGCAN, scoperta per la prima volta nel 2022 e descritta in dettaglio dagli analisti di Kaspersky Lab nel 2021.

Altri strumenti implementati in questa campagna sono il rootkit FudModule descritto in precedenza, un downloader HTTP(S) utilizzato per rubare dati in modo sicuro e varie applicazioni open source trojanizzate, tra cui wolfSSL e FingerText.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli