Lazarus sfrutta un bug Dell per installare rootkit

Lazarus sfrutta un bug Dell per installare rootkit

Il gruppo Lazarus ha distribuito un rootkit che sfrutta una vecchia vulnerabilità presente in un driver Dell (corretta a maggio 2021, dopo 12 anni).
Il gruppo Lazarus ha distribuito un rootkit che sfrutta una vecchia vulnerabilità presente in un driver Dell (corretta a maggio 2021, dopo 12 anni).

Il gruppo Lazarus continua a distribuire malware attraverso false offerte di lavoro, come già avvenuto in diverse occasioni. Stavolta però è stata utilizzato un attacco BYOVD (Bring Your Own Vulnerable Driver) che sfrutta una vecchia vulnerabilità presente nei driver Dell. L’obiettivo principale della campagna è sempre il furto di dati sensibili.

Bug usato per installare un rootkit

Gli esperti di ESET hanno analizzato le tattiche usate dai cybercriminali nordcoreani durante gli attacchi effettuati contro un giornalista in Belgio e un dipendente di una azienda aerospaziale in Olanda. L’accesso iniziale è avvenuto tramite l’invio di email (spear phishing) con un file Word allegato (la presunta offerta di lavoro). L’infezione inizia quando l’utente apre il documento. Sul computer vengono quindi installati vari malware: dropper, loader, backdoor, uploader e downloader.

La backdoor è un RAT (Remote Access Trojan), noto come BLINDINGCAN, che raccoglie una serie di informazioni e invia i dati al server remoto. Un componente, denominato FudModule, è un rootkit che utilizza la tecnica BYOVD (Bring Your Own Vulnerable Driver) per sfruttare la vulnerabilità CVE-2021-21551 (risolta dal produttore dopo 12 anni) presente nel driver Dell Dbutil_2_3.sys.

Il modulo può leggere e scrivere nella memoria del kernel e disattivare sette meccanismi di monitoraggio del sistema operativo. L’attacco BYOVD è difficile da rilevare perché Lazarus utilizza un driver legittimo con firma digitale che Windows e le soluzioni di sicurezza non considerano un pericolo. Ovviamente gli utenti devono installare la versione aggiornata del driver.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: ESET
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 ott 2022
Link copiato negli appunti