Se ha observado que Lazarus Group, respaldado por Corea del Norte, implementa un rootkit de Windows aprovechando un exploit en un controlador de firmware de Dell, destacando las nuevas tácticas adoptadas por el adversario patrocinado por el estado.
El ataque Bring Your Own Vulnerable Driver (BYOVD), que tuvo lugar en el otoño de 2021, es otra variante de la actividad orientada al espionaje del actor de amenazas llamada Operation In(ter)ception que está dirigida contra las industrias aeroespacial y de defensa.
“La campaña comenzó con correos electrónicos de phishing selectivo que contenían documentos maliciosos con el tema de Amazon y estaba dirigida a un empleado de una empresa aeroespacial en los Países Bajos y a un periodista político en Bélgica”, dijo Peter Kálnai, investigador de ESET. dijo.
Las cadenas de ataque se desarrollaron tras la apertura de los documentos señuelo, lo que condujo a la distribución de droppers maliciosos que eran versiones troyanizadas de proyectos de código abierto, lo que corrobora informes recientes de Mandiant de Google y Microsoft.
ESET dijo que descubrió evidencia de que Lazarus lanzó versiones armadas de DedoTexto y sslSniffer, un componente del biblioteca wolfSSLademás de descargadores y cargadores basados en HTTPS.
Las intrusiones también allanaron el camino para la puerta trasera elegida por el grupo, denominada BLINDINGCAN, también conocida como AIRDRY y ZetaNile, que un operador puede usar para controlar y explorar sistemas comprometidos.
Pero lo notable de los ataques de 2021 fue un módulo de rootkit que aprovechó una falla del controlador de Dell para obtener la capacidad de leer y escribir en la memoria del kernel. El problema, rastreado como CVE-2021-21551, se relaciona con un conjunto de vulnerabilidades críticas de escalada de privilegios en dbutil_2_3.sys.
“[This] representa el primer abuso registrado de la vulnerabilidad CVE-2021-21551”, señaló Kálnai. “Esta herramienta, en combinación con la vulnerabilidad, desactiva el monitoreo de todas las soluciones de seguridad en las máquinas comprometidas”.
Denominado FudModule, el malware previamente no documentado logra sus objetivos a través de múltiples métodos “no conocidos antes o familiares solo para investigadores de seguridad especializados y desarrolladores (anti-)trampas”, según ESET.
“Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como registro, sistema de archivos, creación de procesos, seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. ”, dijo Kálnai. “Sin duda, esto requirió habilidades profundas de investigación, desarrollo y prueba”.
Esta no es la primera vez que el actor de amenazas recurre al uso de un conductor vulnerable para montar sus ataques de rootkit. El mes pasado, el ASEC de AhnLab detallado la explotación de un controlador legítimo conocido como “ene.sys” para desarmar el software de seguridad instalado en las máquinas.
Los hallazgos son una demostración de la tenacidad y la capacidad del Grupo Lazarus para innovar y cambiar sus tácticas según sea necesario a lo largo de los años a pesar del intenso escrutinio de las actividades del colectivo tanto por parte de las fuerzas del orden público como de la comunidad investigadora en general.
“La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como también que realiza los tres pilares de las actividades cibercriminales: espionaje cibernético, sabotaje cibernético y búsqueda de ganancias financieras”, dijo la compañía.
About the Author
