I ricercatori notano che Lazarus ha sfruttato, nei loro attacchi una vulnerabilità nei driver Dell DBUtil, che è stata corretta nel maggio 2021. Utile evidenziare l’importanza degli aggiornamenti
ESET ha scoperto lo sfruttamento di un bug nel driver Dell e l’utilizzo del nuovo rootkit FudModule, da parte di Lazarus, in un attacco Bring Your Own Vulnerable Driver (BYOVKD) per spiare e rubare dati.
Nel loro rapporto i ricercatori riferiscono che tutto è iniziato con una campagna di spear-phishing nell’autunno del 2021, tra i target confermati ci sono state vittime nel business del settore aerospaziale nei Paesi Bassi e nel settore del giornalismo politico in Belgio.
Con la loro tattica ormai prediletta, Lazarus creava offerte di lavoro false, inviate via email agli obiettivi di questa campagna nell’UE, questa volta per conto di Amazon.
Tra gli strumenti di questa campagna, ESET segnala che il più interessante è il nuovo rootkit FudModule, che utilizza una tecnica BYOVKD per sfruttare la vulnerabilità CVE-2021-21551 presente in un driver hardware Dell (“dbutil_2_3.sys”).
Vale la pena notare che questo è il primo caso di sfruttamento segnalato per questa vulnerabilità. Inoltre, nel dicembre 2021, Rapid 7 ha avvertito che questo driver, a causa di correzioni Dell di bassa qualità, consentiva di eseguire il codice del kernel anche nelle ultime versioni firmate.
Ma sembra che Lazarus fosse già ben consapevole di questa possibilità molto prima che gli analisti esprimessero le loro preoccupazioni.
Gli aggressori hanno quindi utilizzato il loro accesso in scrittura alla memoria del kernel per disabilitare sette meccanismi offerti da Windows per il monitoraggio dell’attività. Successivamente, sono stati in grado di utilizzare le vulnerabilità del driver per eseguire comandi con privilegi a livello di kernel.
ESET ha anche notato che l’APT ha implementato la sua backdoor proprietaria HTTP(S) BLINDINGCAN, che è stata attribuita da Kaspersky Lab nell’ottobre 2021.
La backdoor supporta un’ampia serie di 25 comandi che coprono le azioni sui file, l’esecuzione dei comandi, l’impostazione delle comunicazioni C2 (comando e controllo), l’acquisizione di schermate, la creazione e l’interruzione dei processi e il furto di informazioni di sistema.
Altri strumenti implementati nella campagna, messi in evidenza includevano anche varie applicazioni trojan open source come wolfSSL e FingerText.
Tutti i dettagli dell’attacco BYOVD sono dettagliati da ESET in un white paper redatto ad hoc di 15 pagine.