Hakerzy z grupy Lazarus zaatakowali firmowe komputery w ramach kampanii spear phishingowej, wykorzystując ciekawy błąd w sterowniku sprzętowym Dell. Kontaktowali się z pracownikami poprzez wiadomości na LinkedIn i przesyłali na ich skrzynki pocztowe maile ze złośliwymi załącznikami, pozwalającymi zainstalować w systemie rootkit.
To nie pierwszy opisywany na Hacku przypadek, kiedy atak uwzględnił błąd w oprogramowaniu firm trzecich, instalowanym na komputerach Windows. Można nawet rzec, że istnieją błędy w samym dodatkowym oprogramowaniu Microsoft instalowanym na Windows, które czasem pozwala na zdobycie wysokich uprawnień do komputera – przykład tutaj.
BYOVD ulubioną metodą hakerów
BYOVD (Bring Your Own Vulnerable Driver), czyli „przynieś swój ulubiony sterownik” to jedna z najchętniej wykorzystywanych metod ataku, ponieważ w łatwy sposób pozwala ona hakerom przejąć kontrolę nad komputerem ofiary.
Opisywany dzisiaj atak z wykorzystaniem tej metody został niedawno zauważony przez ekspertów z firmy ESET. Północnokoreańska grupa hakerska Lazarus zainstalowała rootkita dla systemu Windows, który wykorzystywał sterownik sprzętowy firmy Dell.
Hakerzy wykorzystujący błąd sterownika od Dell
W ramach prowadzonej kampanii hakerzy zaatakowali wielu użytkowników w Unii Europejskiej. Wysyłali oni swoim ofiarom fałszywe oferty pracy, tym razem podszywając się pod pracowników Amazona.
„Kampania rozpoczęła się od e-maili typu spear phishing, które zawierały złośliwe dokumenty związane z Amazonem i były skierowane do pracownika firmy lotniczej w Holandii oraz dziennikarza politycznego w Belgii” – powiedział badacz ESET Peter Kálnai.
Kampania hakerska rozpoczęła się jesienią 2021 i jej głównym celem była kradzież danych oraz prowadzenie działań szpiegowskich. W tym roku hakerzy będą jeszcze prawdopodobnie wykorzystywać fałszywe oferty pracy w ramach swojej kampanii w formie sztuczki socjotechnicznej. Twierdzą tak sami badacze z ESET, ale świadczy o tym również fakt, że w Holandii zaatakowany został podłączony do sieci firmowej komputer z systemem Windows 10 – za pośrednictwem wiadomości na LinkedIn skontaktowano się z pracownikiem w sprawie rzekomej oferty pracy, a następnie wysłano mu wiadomość e-mail z załącznikiem do dokumentu.
Infekcja komputera spowodowana otwarciem dokumentu dostarczonego przez hakerów wiąże się z wprowadzeniem do systemu następujących elementów:
- programów ładujących złośliwe oprogramowanie,
- instalacji złośliwych narzędzi do pobierania danych,
- konfiguracji niestandardowych backdoorów.
Według raportu powyższe elementy są pobierane z zakodowanego na stałe adresu i wykorzystywane do dalszego infekowania komputera.
Luka CVE-2021-21551
Grupa Lazarus wykorzystywała szeroką gamę narzędzi, ale jednym z najciekawszych było to o nazwie FudModule – zupełnie nowe narzędzie do rootkitów. Używa ono luki w sterowniku sprzętu Dell z techniką BYOVD, co jest pierwszym zastosowaniem tej techniki.
Hakerzy dostarczali wyróżniający się na tle pozostałych moduł trybu użytkownika. Prawidłowy sterownik Dell został skompromitowany przez lukę CVE-2021-21551, która umożliwiła modułowi odczytywanie i zapisywanie informacji w jądrze komputera na najwyższych uprawnieniach.
Po uzyskaniu dostępu do pamięci jądra atakujący wyłączali siedem mechanizmów (komponentów) systemu operacyjnego Windows pozwalających śledzić i zapisywać aktywność w systemie w miejscach takich jak:
- rejestr systemowy,
- system plików,
- logi z tworzenia procesów,
- śledzenie zdarzeń w logach.
Od strony bardziej technicznej, atak wykorzystywał lukę w odkrytym jako podatny sterowniku sprzętowym o nazwie „dbutil_2_3.sys” i numerze CVE-2021-21551. To legalny sterownik firmy Dell, usunięty przez „FudModule.dll” i jest on potencjalnie zagrożony.
Co ciekawe, wykorzystując po raz pierwszy na wolności lukę CVE-2021-21551, hakerzy byli w stanie wyłączyć na Windows wszystkie rozwiązania bezpieczeństwa jednocześnie.
Poniżej wymieniamy wszystkie złośliwe oprogramowania, narzędzia, droppery oraz programy ładujące używane przez hakerów z Lazarus w tym ataku:
- HTTP(S) backdoor: BLINDINGCAN,
- HTTP(S) downloader,
- HTTP(S) uploader,
- FudModule Rootkit,
- Trojanized lecui,
- Trojanized FingerText,
- Trojanized sslSniffer.
Szczegóły na temat powyższych narzędzi znajdziecie tutaj.