Le groupe Lazarus, soutenu par la Corée du Nord, a été observé en train de déployer un rootkit Windows en profitant d’un exploit dans un pilote de micrologiciel Dell, mettant en évidence de nouvelles tactiques adoptées par l’adversaire parrainé par l’État.
L’attaque BYOVD (Bring Your Own Vulnerable Driver), qui a eu lieu à l’automne 2021, est une autre variante de l’activité d’espionnage de l’acteur menaçant appelée Operation In(ter)ception qui est dirigée contre les industries de l’aérospatiale et de la défense.
« La campagne a commencé par des e-mails de harponnage contenant des documents malveillants sur le thème d’Amazon et ciblant un employé d’une entreprise aérospatiale aux Pays-Bas et un journaliste politique en Belgique », a déclaré Peter Kálnai, chercheur chez ESET. a dit.
Des chaînes d’attaque se sont déroulées lors de l’ouverture des documents leurre, conduisant à la distribution de droppers malveillants qui étaient des versions trojanisées de projets open source, corroborant les récents rapports de Google Mandiant et Microsoft.
ESET a déclaré avoir découvert des preuves que Lazarus avait abandonné des versions militarisées de FingerText et sslSniffer, un composant du bibliothèque wolfSSLen plus des téléchargeurs et téléchargeurs basés sur HTTPS.
Les intrusions ont également ouvert la voie à la porte dérobée de choix du groupe baptisée BLINDINGCAN – également connue sous le nom d’AIRDRY et ZetaNile – qu’un opérateur peut utiliser pour contrôler et explorer des systèmes compromis.
Mais ce qui est remarquable dans les attaques de 2021, c’est un module rootkit qui exploitait une faille du pilote Dell pour obtenir la capacité de lire et d’écrire dans la mémoire du noyau. Le problème, suivi en tant que CVE-2021-21551, concerne un ensemble de vulnérabilités critiques d’escalade de privilèges dans dbutil_2_3.sys.
« [This] représente le premier abus enregistré de la vulnérabilité CVE-2021-21551 », a noté Kálnai. « Cet outil, combiné à la vulnérabilité, désactive la surveillance de toutes les solutions de sécurité sur les machines compromises.
Nommé FudModule, le malware jusque-là non documenté atteint ses objectifs via plusieurs méthodes « soit inconnues auparavant, soit familières uniquement aux chercheurs spécialisés en sécurité et aux développeurs (anti-)triche », selon ESET.
« Les attaquants ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes proposés par le système d’exploitation Windows pour surveiller ses actions, comme le registre, le système de fichiers, la création de processus, le suivi des événements, etc., aveuglant essentiellement les solutions de sécurité d’une manière très générique et robuste. « , a déclaré Kalnai. « Il ne fait aucun doute que cela nécessitait des compétences approfondies en matière de recherche, de développement et de test. »
Ce n’est pas la première fois que l’auteur de la menace recourt à l’utilisation d’un conducteur vulnérable pour monter ses attaques de rootkit. Le mois dernier, l’ASEC d’AhnLab détaillé l’exploitation d’un pilote légitime connu sous le nom de « ene.sys » pour désarmer les logiciels de sécurité installés dans les machines.
Les résultats sont une démonstration de la ténacité et de la capacité du groupe Lazarus à innover et à modifier ses tactiques selon les besoins au fil des ans, malgré un examen minutieux des activités du collectif de la part des forces de l’ordre et de la communauté de recherche au sens large.
« La diversité, le nombre et l’excentricité dans la mise en œuvre des campagnes Lazarus définissent ce groupe, ainsi que le fait qu’il exécute les trois piliers des activités cybercriminelles : le cyberespionnage, le cybersabotage et la poursuite du gain financier », a déclaré la société.