臭名昭著的朝鲜黑客组织“Lazarus”安装了一个 Windows Rootkit,该工具在“自带易受攻击的驱动程序”攻击中滥用戴尔硬件驱动程序。
鱼叉式网络钓鱼活动于 2021 年秋季展开,确认的目标包括荷兰的一名航空航天专家和比利时的一名政治记者。
根据今天发布了该活动报告的 ESET 称,主要目标是间谍活动和数据盗窃。
滥用戴尔驱动程序进行 BYOVD 攻击
该活动的欧盟目标通过电子邮件发送虚假工作机会,这次是针对亚马逊,这 是黑客 在 2022 年采用的典型 且 常见的 社会工程技巧 。
打开这些文档会从硬编码地址下载远程模板,然后会感染涉及恶意软件加载程序、释放程序、自定义后门等的感染。
ESET 报告称,在此次活动中部署的工具中,最有趣的是一个新的 FudModule rootkit,它首次滥用 BYOVD(自带易受攻击的驱动程序)技术来利用戴尔硬件驱动程序中的漏洞。
“攻击者提供的最引人注目的工具是用户模式模块,由于合法戴尔驱动程序中的 CVE-2021-21551 漏洞,该模块获得了读取和写入内核内存的能力,”ESET 在 一份 关于攻击的新报告中解释道.
“这是有记录以来首次在野外滥用此漏洞。”
“攻击者随后使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作,如注册表、文件系统、进程创建、事件跟踪等,基本上以非常通用和强大的方式使安全解决方案失明。 “
自带易受攻击的驱动程序 (BYOVD) 攻击是指威胁参与者在 Windows 中加载合法的签名驱动程序,这些驱动程序也包含已知漏洞。由于内核驱动程序已签名,Windows 将允许将驱动程序安装在操作系统中。
但是,威胁参与者现在可以利用驱动程序的漏洞来启动具有内核级权限的命令。
在这次攻击中,Lazarus 利用了 戴尔硬件驱动程序 (“dbutil_2_3.sys”)中的 CVE-2021-21551 漏洞,这对应于 在计算机供应商最终推送安全更新之前的 12 年仍然可利用的五个漏洞。它。
2021 年 12 月,Rapid 7 的研究人员 警告说, 由于戴尔的修复不足,该特定驱动程序成为 BYOVD 攻击的绝佳候选者,即使在最近的签名版本上也允许内核代码执行。
看起来 Lazarus 已经很清楚这种滥用的可能性,并在安全分析师发布公开警告之前就利用了戴尔驱动程序。
“攻击者随后使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作,如注册表、文件系统、进程创建、事件跟踪等,基本上以一种非常通用和强大的方式使安全解决方案失明, ”继续 ESET 的报告。
对于那些对 Lazarus 攻击的 BYOVD 方面感兴趣的人,您可以深入了解 ESET 单独发布的这份长达 15 页的技术论文的详细信息。
BLINDINGCAN 和其他工具
ESET 补充说,该组织部署了其商标自定义 HTTP(S) 后门“BLINDINGCAN”,该后门由美国情报部门 于 2020 年 8 月首次发现,并于 2021 年 10 月 被卡巴斯基归因于 Lazarus 。
ESET 采样的“BLINDINGCAN”远程访问木马 (RAT) 似乎在执行参数验证的未记录服务器端仪表板的大力支持下运行。
该后门支持广泛的 25 条命令,包括文件操作、命令执行、C2 通信配置、截屏、进程创建和终止以及系统信息泄露。
展示的活动中部署的其他工具是前面描述的 FudModule Rootkit,一个用于安全数据泄露的 HTTP(S) 上传器,以及各种木马化的开源应用程序,如 wolfSSL 和 FingerText。
将开源工具木马化是 Lazarus 继续做的事情,正如 微软昨天的一份报告中 提到的那样,这种技术已与 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 软件安装程序一起使用。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Lazarus黑客使用新的FudModule rootkit滥用戴尔驱动程序漏洞
