Cibercriminosos ligados ao Lazarus Group (apoiado pela Coreia do Norte) estão explorando uma vulnerabilidade de um driver de firmware da Dell para implantarem um rootkit do Windows.
O ataque Bring Your Own Vulnerable Driver (BYOVD / Traga seu próprio driver vulnerável), que ocorreu no outono de 2021, é outra variante da atividade orientada à espionagem do agente da ameaça chamada Operation In(ter)ception, direcionada contra as indústrias aeroespacial e de defesa.
Como o próprio Peter Kálnai, pesquisador da ESET pontua (Via: The Hacker News), “a campanha começou com e-mails de spear phishing contendo documentos maliciosos com temas da Amazon e teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica”.
Exploração de vulnerabilidade de driver Dell
Cadeias de ataque se desdobraram após a abertura dos documentos de atração, levando à distribuição de droppers maliciosos que eram versões trojanizadas de projetos de código aberto, corroborando relatórios recentes da Mandiant do Google e da Microsoft.
A ESET disse que descobriu evidências de Lazarus lançando versões armadas do FingerText e do sslSniffer, um componente da biblioteca wolfSSL, além de downloaders e uploaders baseados em HTTPs.
Um módulo de rootkit explorou uma falha de driver da Dell para obter a capacidade de ler e gravar na memória do kernel. O problema, rastreado como CVE-2021-21551, está relacionado a um conjunto de vulnerabilidades críticas de escalonamento de privilégios em dbutil_2_3.sys.
Chamado FudModule, o malware anteriormente não documentado atinge seus objetivos por meio de vários métodos “não conhecidos antes ou familiares apenas a pesquisadores de segurança especializados e desenvolvedores (anti-)fraude”, de acordo com a ESET.
“Os invasores usaram o acesso de gravação da memória do kernel para desabilitar sete mecanismos que o sistema operacional Windows oferece para monitorar suas ações, como registro, sistema de arquivos, criação de processos, rastreamento de eventos etc., basicamente cegando soluções de segurança de uma maneira muito genérica e robusta. “, disse Kalnai. “Sem dúvida, isso exigiu profunda pesquisa, desenvolvimento e habilidades de teste”.
Ataques anteriores
O The Hacker News lembra que, esta não é a primeira vez que o agente da ameaça recorre ao uso de um driver vulnerável para montar seus ataques de rootkit. No mês passado, o ASEC da AhnLab detalhou a exploração de um driver legítimo conhecido como “ene.sys” para desarmar o software de segurança instalado nas máquinas.
As descobertas são uma demonstração da tenacidade e capacidade do Lazarus Group de inovar e mudar suas táticas conforme necessário ao longo dos anos.