Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 9 Ottobre 2022 08:58
Gli esperti ESET hanno scoperto che il gruppo nordcoreano Lazarus utilizza la tecnica di abuso del driver Dell. Ciò consente al malware di aggirare le protezioni del sistema operativo con driver noti per essere vulnerabili, poiché la maggior parte dei driver ha automaticamente accesso al kernel del sistema operativo. In questo modo, gli hacker distribuiscono un rootkit di Windows sui sistemi delle loro vittime.
Secondo i ricercatori, questa campagna di spear-phishing di Lazarus si è svolta nell’autunno del 2021, verso un esperto aerospaziale nei Paesi Bassi e un giornalista politico in Belgio.
Le due persone, hanno ricevuto offerte di lavoro fasulle per posta, che si presume provenissero da Amazon, e l’apertura di quei documenti avrebbe scaricato un modello remoto da un indirizzo codificato.
Successivamente, la macchina della vittima è stata infettata utilizzando loader dannosi, dropper, backdoor personalizzate e così via.
ESET riporta che il più interessante tra gli strumenti utilizzati in questa campagna era il rootkit FudModule, che utilizzava la tecnica BYOVD sopra menzionata e abusa della vulnerabilità CVE-2021-21551 in un driver legittimo per l’hardware Dell.
“Questo è stato il primo abuso segnalato di questa vulnerabilità. Gli aggressori hanno quindi utilizzato l’accesso alla memoria del kernel per disabilitare una serie di meccanismi utilizzati dal sistema operativo Windows per monitorare le attività, inclusi il registro, il file system, la creazione di processi, il rilevamento degli eventi e così via.”
affermano gli esperti.
Lascia che ti ricordi che la vulnerabilità CVE-2021-21551 nel driver Dell dbutil_2_3.sys è divenuta nota a metà del 2021 e che a quel punto Lazarus ovviamente erano già a conoscenza di questo problema e ne hanno attivamente abusato.
ESET afferma inoltre che durante questi attacchi, il gruppo di hacker ha utilizzato la sua backdoor “proprietaria” BLINDINGCAN, scoperta per la prima volta nel 2022 e descritta in dettaglio dagli analisti di Kaspersky Lab nel 2021.
Altri strumenti implementati in questa campagna sono il rootkit FudModule descritto in precedenza, un downloader HTTP(S) utilizzato per rubare dati in modo sicuro e varie applicazioni open source trojanizzate, tra cui wolfSSL e FingerText.
RedazioneLa recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
La saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
