Lazarus distribuisce rootkit utilizzando i driver della Dell

Gli esperti ESET hanno scoperto che il gruppo nordcoreano Lazarus utilizza la tecnica di abuso del driver Dell. Ciò consente al malware di aggirare le protezioni del sistema operativo con driver noti per essere vulnerabili, poiché la maggior parte dei driver ha automaticamente accesso al kernel del sistema operativo. In questo modo, gli hacker distribuiscono un rootkit di Windows sui sistemi delle loro vittime.

Secondo i ricercatori, questa campagna di spear-phishing di Lazarus si è svolta nell’autunno del 2021, verso un esperto aerospaziale nei Paesi Bassi e un giornalista politico in Belgio.

Le due persone, hanno ricevuto offerte di lavoro fasulle per posta, che si presume provenissero da Amazon, e l’apertura di quei documenti avrebbe scaricato un modello remoto da un indirizzo codificato. 

Successivamente, la macchina della vittima è stata infettata utilizzando loader dannosi, dropper, backdoor personalizzate e così via.

ESET riporta che il più interessante tra gli strumenti utilizzati in questa campagna era il rootkit FudModule, che utilizzava la tecnica BYOVD sopra menzionata e abusa della vulnerabilità CVE-2021-21551 in un driver legittimo per l’hardware Dell.

“Questo è stato il primo abuso segnalato di questa vulnerabilità. Gli aggressori hanno quindi utilizzato l’accesso alla memoria del kernel per disabilitare una serie di meccanismi utilizzati dal sistema operativo Windows per monitorare le attività, inclusi il registro, il file system, la creazione di processi, il rilevamento degli eventi e così via.”

affermano gli esperti.

Lascia che ti ricordi che la vulnerabilità CVE-2021-21551 nel driver Dell dbutil_2_3.sys è divenuta nota a metà del 2021 e che a quel punto Lazarus ovviamente erano già a conoscenza di questo problema e ne hanno attivamente abusato.

ESET afferma inoltre che durante questi attacchi, il gruppo di hacker ha utilizzato la sua backdoor “proprietaria” BLINDINGCAN, scoperta per la prima volta nel 2022 e descritta in dettaglio dagli analisti di Kaspersky Lab nel 2021.

Altri strumenti implementati in questa campagna sono il rootkit FudModule descritto in precedenza, un downloader HTTP(S) utilizzato per rubare dati in modo sicuro e varie applicazioni open source trojanizzate, tra cui wolfSSL e FingerText.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.