Cibercriminosos exploram vulnerabilidade de driver da Dell!

Driver Dell "PC Extras" deve fazer parte do kernel Linux 6.11

Cibercriminosos ligados ao Lazarus Group (apoiado pela Coreia do Norte) estão explorando uma vulnerabilidade de um driver de firmware da Dell para implantarem um rootkit do Windows.

O ataque Bring Your Own Vulnerable Driver (BYOVD / Traga seu próprio driver vulnerável), que ocorreu no outono de 2021, é outra variante da atividade orientada à espionagem do agente da ameaça chamada Operation In(ter)ception, direcionada contra as indústrias aeroespacial e de defesa.

Como o próprio Peter Kálnai, pesquisador da ESET pontua (Via: The Hacker News), “a campanha começou com e-mails de spear phishing contendo documentos maliciosos com temas da Amazon e teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica”.

Exploração de vulnerabilidade de driver Dell

Cadeias de ataque se desdobraram após a abertura dos documentos de atração, levando à distribuição de droppers maliciosos que eram versões trojanizadas de projetos de código aberto, corroborando relatórios recentes da Mandiant do Google e da Microsoft.

A ESET disse que descobriu evidências de Lazarus lançando versões armadas do FingerText e do sslSniffer, um componente da biblioteca wolfSSL, além de downloaders e uploaders baseados em HTTPs.

Um módulo de rootkit explorou uma falha de driver da Dell para obter a capacidade de ler e gravar na memória do kernel. O problema, rastreado como CVE-2021-21551, está relacionado a um conjunto de vulnerabilidades críticas de escalonamento de privilégios em dbutil_2_3.sys.

Chamado FudModule, o malware anteriormente não documentado atinge seus objetivos por meio de vários métodos “não conhecidos antes ou familiares apenas a pesquisadores de segurança especializados e desenvolvedores (anti-)fraude”, de acordo com a ESET.

“Os invasores usaram o acesso de gravação da memória do kernel para desabilitar sete mecanismos que o sistema operacional Windows oferece para monitorar suas ações, como registro, sistema de arquivos, criação de processos, rastreamento de eventos etc., basicamente cegando soluções de segurança de uma maneira muito genérica e robusta. “, disse Kalnai. “Sem dúvida, isso exigiu profunda pesquisa, desenvolvimento e habilidades de teste”.

Ataques anteriores

O The Hacker News lembra que, esta não é a primeira vez que o agente da ameaça recorre ao uso de um driver vulnerável para montar seus ataques de rootkit. No mês passado, o ASEC da AhnLab detalhou a exploração de um driver legítimo conhecido como “ene.sys” para desarmar o software de segurança instalado nas máquinas.

As descobertas são uma demonstração da tenacidade e capacidade do Lazarus Group de inovar e mudar suas táticas conforme necessário ao longo dos anos.

Acesse a versão completa
Sair da versão mobile