Η διαβόητη βορειοκορεάτικη ομάδα hacking “Lazarus” εθεάθη να εγκαθιστά ένα rootkit των Windows που καταχράται ένα πρόγραμμα οδήγησης υλικού της Dell σε μια επίθεση Bring Your Own Vulnerable Driver.
Δείτε επίσης: Microsoft: Η ομάδα Lazarus εργαλειοποιεί λογισμικό ανοιχτού κώδικα
Η εκστρατεία spear-phishing ξεκίνησε το φθινόπωρο του 2021 και οι επιβεβαιωμένοι στόχοι περιλαμβάνουν έναν ειδικό της αεροδιαστημικής στην Ολλανδία και έναν πολιτικό δημοσιογράφο στο Βέλγιο.
Σύμφωνα με την ESET, ο πρωταρχικός στόχος της συμμορίας ήταν η κατασκοπεία και η κλοπή δεδομένων.
Οι στόχοι αυτής της καμπάνιας με έδρα την ΕΕ έλαβαν email με ψεύτικες προσφορές εργασίας, αυτή τη φορά για την Amazon, ένα τυπικό και κοινό τέχνασμα social engineering που χρησιμοποιούν οι χάκερ το 2022.
Ανοίγοντας αυτά τα έγγραφα, γίνεται λήψη ενός απομακρυσμένου προτύπου από μια διεύθυνση με έντυπη κωδικοποίηση, ακολουθούμενη από μολύνσεις που περιλαμβάνουν προγράμματα φόρτωσης κακόβουλου λογισμικού, droppers, προσαρμοσμένες πόρτες ασφαλείας και άλλα.
Η ESET αναφέρει ότι μεταξύ των εργαλείων που αναπτύσσονται σε αυτήν την καμπάνια, το πιο ενδιαφέρον είναι ένα νέο rootkit FudModule που κάνει κατάχρηση μιας τεχνικής BYOVD (Bring Your Own Vulnerable Driver) για να εκμεταλλευτεί μια ευπάθεια σε ένα πρόγραμμα οδήγησης υλικού της Dell για πρώτη φορά.
Δείτε ακόμα: Ομάδα Lazarus: Διανέμει κακόβουλο λογισμικό macOS μέσω του Crypto.com
Στη συνέχεια, οι εισβολείς χρησιμοποίησαν την πρόσβαση εγγραφής στη μνήμη του πυρήνα για να απενεργοποιήσουν επτά μηχανισμούς που προσφέρει το λειτουργικό σύστημα Windows για να παρακολουθεί τις ενέργειές του, όπως μητρώο, σύστημα αρχείων, δημιουργία διεργασιών, ανίχνευση συμβάντων κ.λπ., ουσιαστικά τυφλώνοντας τις λύσεις ασφαλείας με πολύ γενικό και ισχυρό τρόπο.
Η επίθεση Bring Your Own Vulnerable Driver (BYOVD) πραγματοποιείται όταν οι παράγοντες απειλής φορτώνουν νόμιμα, υπογεγραμμένα προγράμματα οδήγησης στα Windows που περιέχουν επίσης γνωστά τρωτά σημεία. Καθώς τα προγράμματα οδήγησης του πυρήνα είναι υπογεγραμμένα, τα Windows θα επιτρέψουν την εγκατάσταση του προγράμματος οδήγησης στο λειτουργικό σύστημα.
Ωστόσο, οι φορείς απειλών μπορούν τώρα να εκμεταλλευτούν τα τρωτά σημεία του προγράμματος οδήγησης για να εκκινήσουν εντολές με προνόμια σε επίπεδο πυρήνα.
Σε αυτήν την επίθεση, η Lazarus εκμεταλλευόταν την ευπάθεια CVE-2021-21551 σε ένα πρόγραμμα οδήγησης υλικού της Dell (“dbutil_2_3.sys”), το οποίο αντιστοιχεί σε ένα σύνολο πέντε ελαττωμάτων που παρέμειναν εκμεταλλεύσιμα για 12 χρόνια πριν ο προμηθευτής υπολογιστών προωθήσει τελικά ενημερώσεις ασφαλείας.
Τον Δεκέμβριο του 2021, ερευνητές στο Rapid 7 προειδοποίησαν ότι αυτό το συγκεκριμένο πρόγραμμα οδήγησης είναι εξαιρετικός υποψήφιος για επιθέσεις BYOVD λόγω ανεπαρκών επιδιορθώσεων της Dell, επιτρέποντας την εκτέλεση κώδικα πυρήνα ακόμη και σε πρόσφατες, υπογεγραμμένες εκδόσεις.
Δείτε επίσης: Dell XPS 17 2022 review: Ο καλύτερος φορητός υπολογιστής 17 ιντσών
Φαίνεται ότι η Lazarus γνώριζε ήδη καλά αυτό το ενδεχόμενο κατάχρησης και εκμεταλλευόταν το πρόγραμμα οδήγησης Dell πολύ πριν οι αναλυτές ασφαλείας εκδώσουν τις δημόσιες προειδοποιήσεις τους.
Για όσους ενδιαφέρονται για την πτυχή BYOVD της επίθεσης του Lazarus, μπορείτε να διαβάσετε τις λεπτομέρειες σε αυτό το τεχνικό έγγραφο που δημοσίευσε η ESET ξεχωριστά.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/423789/lazarus-kataxratai-sfalmata-programma-odigisis-dell/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/10/Lazarus.jpg&description=Η βορειοκορεάτικη ομάδα hacking "Lazarus" εθεάθη να εγκαθιστά ένα rootkit των Windows που καταχράται ένα πρόγραμμα οδήγησης υλικού της Dell.){kind=link}