Se ha observado que Lazarus Group, respaldado por Corea del Norte, implementa un rootkit de Windows aprovechando un exploit en un controlador de firmware de Dell, destacando las nuevas t\u00e1cticas adoptadas por el adversario patrocinado por el estado.<\/p>\n
El ataque Bring Your Own Vulnerable Driver (BYOVD), que tuvo lugar en el oto\u00f1o de 2021, es otra variante de la actividad orientada al espionaje del actor de amenazas llamada Operation In(ter)ception que est\u00e1 dirigida contra las industrias aeroespacial y de defensa.<\/p>\n
“La campa\u00f1a comenz\u00f3 con correos electr\u00f3nicos de phishing selectivo que conten\u00edan documentos maliciosos con el tema de Amazon y estaba dirigida a un empleado de una empresa aeroespacial en los Pa\u00edses Bajos y a un periodista pol\u00edtico en B\u00e9lgica”, dijo Peter K\u00e1lnai, investigador de ESET. dijo<\/a>.<\/p>\n Las cadenas de ataque se desarrollaron tras la apertura de los documentos se\u00f1uelo, lo que condujo a la distribuci\u00f3n de droppers maliciosos que eran versiones troyanizadas de proyectos de c\u00f3digo abierto, lo que corrobora informes recientes de Mandiant de Google y Microsoft.<\/p>\n ESET dijo que descubri\u00f3 evidencia de que Lazarus lanz\u00f3 versiones armadas de DedoTexto<\/a> y sslSniffer, un componente del biblioteca wolfSSL<\/a>adem\u00e1s de descargadores y cargadores basados \u200b\u200ben HTTPS.<\/p>\n Las intrusiones tambi\u00e9n allanaron el camino para la puerta trasera elegida por el grupo, denominada BLINDINGCAN, tambi\u00e9n conocida como AIRDRY y ZetaNile, que un operador puede usar para controlar y explorar sistemas comprometidos.<\/p>\n Pero lo notable de los ataques de 2021 fue un m\u00f3dulo de rootkit que aprovech\u00f3 una falla del controlador de Dell para obtener la capacidad de leer y escribir en la memoria del kernel. El problema, rastreado como CVE-2021-21551, se relaciona con un conjunto de vulnerabilidades cr\u00edticas de escalada de privilegios en dbutil_2_3.sys.<\/p>\n “[This] representa el primer abuso registrado de la vulnerabilidad CVE-2021-21551”, se\u00f1al\u00f3 K\u00e1lnai. “Esta herramienta, en combinaci\u00f3n con la vulnerabilidad, desactiva el monitoreo de todas las soluciones de seguridad en las m\u00e1quinas comprometidas”.<\/p>\n Denominado FudModule, el malware previamente no documentado logra sus objetivos a trav\u00e9s de m\u00faltiples m\u00e9todos “no conocidos antes o familiares solo para investigadores de seguridad especializados y desarrolladores (anti-)trampas”, seg\u00fan ESET.<\/p>\n “Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como registro, sistema de archivos, creaci\u00f3n de procesos, seguimiento de eventos, etc., b\u00e1sicamente cegando las soluciones de seguridad de una manera muy gen\u00e9rica y robusta. \u201d, dijo K\u00e1lnai. “Sin duda, esto requiri\u00f3 habilidades profundas de investigaci\u00f3n, desarrollo y prueba”.<\/p>\n Esta no es la primera vez que el actor de amenazas recurre al uso de un conductor vulnerable<\/a> para montar sus ataques de rootkit. El mes pasado, el ASEC de AhnLab detallado<\/a> la explotaci\u00f3n de un controlador leg\u00edtimo conocido como “ene.sys” para desarmar el software de seguridad instalado en las m\u00e1quinas.<\/p>\n Los hallazgos son una demostraci\u00f3n de la tenacidad y la capacidad del Grupo Lazarus para innovar y cambiar sus t\u00e1cticas seg\u00fan sea necesario a lo largo de los a\u00f1os a pesar del intenso escrutinio de las actividades del colectivo tanto por parte de las fuerzas del orden p\u00fablico como de la comunidad investigadora en general.<\/p>\n \u201cLa diversidad, el n\u00famero y la excentricidad en la implementaci\u00f3n de las campa\u00f1as de Lazarus definen a este grupo, as\u00ed como tambi\u00e9n que realiza los tres pilares de las actividades cibercriminales: espionaje cibern\u00e9tico, sabotaje cibern\u00e9tico y b\u00fasqueda de ganancias financieras\u201d, dijo la compa\u00f1\u00eda.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_826_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\")
<\/a><\/div>\n