Специалисты ESET обнаружили, что северокорейская группировка Lazarus использует технику атак BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер») и злоупотребляет драйвером Dell. Это позволяет вредоносному ПО преодолевать защиту ОС с помощью заведомо уязвимых драйверов, поскольку большинство драйверов автоматически имеют доступ к ядру ОС. Таким способом хакеры развертывают Windows-руткит в системах своих жертв.
По данным исследователей, эта направленная фишинговая кампания Lazarus развернулась осенью 2021 года, и ее подтвержденными жертвами стали эксперт в сфере аэрокосмической отрасли в Нидерландах и политический журналист из Бельгии.
Цели получали по почте фиктивные предложения о работе, якобы от лица компании Amazon, и при открытии таких документов загружался удаленный шаблон с жестко заданного адреса. После этого происходило заражение машины жертвы с использованием вредоносных загрузчиков, дропперов, кастомных бэкдоров и так далее.
ESET сообщает, что наиболее интересным среди инструментов хакеров, использованных в рамках этой кампании, был руткит FudModule, который использовал упомянутую выше технику BYOVD и злоупотреблял уязвимостью CVE-2021-21551 в легитимном драйвере для оборудования Dell.
«Это было первое зарегистрированное злоупотребление данной уязвимостью. Затем злоумышленники использовали полученный доступ на запись в память ядра, чтобы отключить ряд механизмов, которые операционная система Windows использует для мониторинга действий, включая реестр, файловую систему, создание процессов, отслеживание событий и так далее. Это “ослепляло” решения для обеспечения безопасности общим и весьма надежным способом», — рассказывают эксперты.
Напомню, что об уязвимости CVE-2021-21551 в драйвере Dell dbutil_2_3.sys стало известно в середине 2021 года, и к тому времени хакеры из группировки Lazarus явно уже знали об этой проблеме и активно ей злоупотребляли.
Также ESET рассказывает, что в ходе этих атак хак-группа применяла свой «фирменный» бэкдор BLINDINGCAN, впервые обнаруженный в 20202 году и детально описанный аналитиками «Лаборатории Касперского» в 2021 году.
Другими инструментами, развернутыми в этой кампании, являются ранее описанный руткит FudModule, HTTP(S) загрузчик, используемый для безопасного хищения данных, и различные троянизированные опенсорсные приложения, включая wolfSSL и FingerText.
