ESET Lazarus Amazon Dell BYOVD FudModule Rapid7
Баги в уязвимом драйвере позволяют злоумышленникам читать и записывать память ядра.
Все началось с
исследования
специалистов из ESET, которые занялись расследованием одной из вредоносных кампаний
Lazarus Group (также известная как Guardians of Peace, Whois Team и HIDDEN COBRA) — это киберпреступная группа, численностью несколько тысяч человек, находящихся под управлением северокорейского государства.
Группировка занимает лидирующие позиции среди киберпреступников. Хакеры грабят банки и взламывают базы данных криптовалютных фирм для пополнения бюджета Северной Кореи. По данным Национального центра кибербезопасности Великобритании (NCSC), АНБ и ФБР, Lazarus занимает первое место в списке угроз национальной безопасности."
data-html="true" data-original-title="Lazarus"
>Lazarus, в ходе которой злоумышленники использовали поддельные предложения о работе в
Известен как ведущий в мире цифровой ритейлер; онлайн-любимчик, который продает все, что вы можете себе представить - от журнальных столиков в стиле ретро и бархатных вешалок для костюмов до самых прочных расширяемых садовых шлангов."
data-html="true" data-original-title="Amazon"
>Amazon. Абсолютно классическая схема: при открытии фейкового документа происходит заражение устройства жертвы дропперами, бэкдорами и прочими вредоносами.
Однако исследователей заинтересовал новый инструмент, которым решили воспользоваться злоумышленники – руткит под названием FudModule, использующий метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость CVE-2021-21551 в драйвере устройств от Dell. Эта уязвимость развязывает киберпреступникам руки, открывая полный доступ к памяти ядра. Специалисты отметили, что это первый случай использования CVE-2021-21551 в дикой природе.
Получив доступ к записи в память ядра, злоумышленники отключают механизмы, с помощью которых можно следить за действиями в Windows, тем самым просто ослепляя любые системы защиты.
Эксперты ESET уточнили, что в исследуемой ими атаке Lazarus использовала CVE-2021-21551 в драйвере оборудования Dell ("dbutil_2_3.sys"). Этот драйвер подвержен пяти уязвимостям, которые были исправлены только спустя 12 лет после их обнаружения.
Подписанный драйвер, которым воспользовались злоумышленники.Стоит отметить тот факт, что исследователи из Rapid 7 еще в декабре 2021 года
предупредили
о возможной угрозе, которую представляет этот драйвер. По их словам, виной этому стала странная политика исправлений Dell и сам набор уязвимостей, позволяющий получить доступ к ядру даже на последних подписанных версиях.
SECURITYLAB.RU
