Hakerzy z grupy Lazarus zaatakowali firmowe komputery w ramach kampanii spear phishingowej, wykorzystując ciekawy błąd w sterowniku sprzętowym Dell. Kontaktowali się z pracownikami poprzez wiadomości na LinkedIn i przesyłali na ich skrzynki pocztowe maile ze złośliwymi załącznikami, pozwalającymi zainstalować w systemie rootkit.

To nie pierwszy opisywany na Hacku przypadek, kiedy atak uwzględnił błąd w oprogramowaniu firm trzecich, instalowanym na komputerach Windows. Można nawet rzec, że istnieją błędy w samym dodatkowym oprogramowaniu Microsoft instalowanym na Windows, które czasem pozwala na zdobycie wysokich uprawnień do komputera – przykład tutaj.


BYOVD ulubioną metodą hakerów

BYOVD (Bring Your Own Vulnerable Driver), czyli „przynieś swój ulubiony sterownik” to jedna z najchętniej wykorzystywanych metod ataku, ponieważ w łatwy sposób pozwala ona hakerom przejąć kontrolę nad komputerem ofiary.

Opisywany dzisiaj atak z wykorzystaniem tej metody został niedawno zauważony przez ekspertów z firmy ESET. Północnokoreańska grupa hakerska Lazarus zainstalowała rootkita dla systemu Windows, który wykorzystywał sterownik sprzętowy firmy Dell.


Hakerzy wykorzystujący błąd sterownika od Dell

W ramach prowadzonej kampanii hakerzy zaatakowali wielu użytkowników w Unii Europejskiej. Wysyłali oni swoim ofiarom fałszywe oferty pracy, tym razem podszywając się pod pracowników Amazona.

„Kampania rozpoczęła się od e-maili typu spear phishing, które zawierały złośliwe dokumenty związane z Amazonem i były skierowane do pracownika firmy lotniczej w Holandii oraz dziennikarza politycznego w Belgii” – powiedział badacz ESET Peter Kálnai.

Źródło: ESET

Kampania hakerska rozpoczęła się jesienią 2021 i jej głównym celem była kradzież danych oraz prowadzenie działań szpiegowskich. W tym roku hakerzy będą jeszcze prawdopodobnie wykorzystywać fałszywe oferty pracy w ramach swojej kampanii w formie sztuczki socjotechnicznej. Twierdzą tak sami badacze z ESET, ale świadczy o tym również fakt, że w Holandii zaatakowany został podłączony do sieci firmowej komputer z systemem Windows 10 – za pośrednictwem wiadomości na LinkedIn skontaktowano się z pracownikiem w sprawie rzekomej oferty pracy, a następnie wysłano mu wiadomość e-mail z załącznikiem do dokumentu.

Infekcja komputera spowodowana otwarciem dokumentu dostarczonego przez hakerów wiąże się z wprowadzeniem do systemu następujących elementów:

  • programów ładujących złośliwe oprogramowanie,
  • instalacji złośliwych narzędzi do pobierania danych,
  • konfiguracji niestandardowych backdoorów.

Według raportu powyższe elementy są pobierane z zakodowanego na stałe adresu i wykorzystywane do dalszego infekowania komputera.


Luka CVE-2021-21551

Grupa Lazarus wykorzystywała szeroką gamę narzędzi, ale jednym z najciekawszych było to o nazwie FudModule – zupełnie nowe narzędzie do rootkitów. Używa ono luki w sterowniku sprzętu Dell z techniką BYOVD, co jest pierwszym zastosowaniem tej techniki.

Hakerzy dostarczali wyróżniający się na tle pozostałych moduł trybu użytkownika. Prawidłowy sterownik Dell został skompromitowany przez lukę CVE-2021-21551, która umożliwiła modułowi odczytywanie i zapisywanie informacji w jądrze komputera na najwyższych uprawnieniach.

Po uzyskaniu dostępu do pamięci jądra atakujący wyłączali siedem mechanizmów (komponentów) systemu operacyjnego Windows pozwalających śledzić i zapisywać aktywność w systemie w miejscach takich jak:

  • rejestr systemowy,
  • system plików,
  • logi z tworzenia procesów,
  • śledzenie zdarzeń w logach.

Od strony bardziej technicznej, atak wykorzystywał lukę w odkrytym jako podatny sterowniku sprzętowym o nazwie „dbutil_2_3.sys” i numerze CVE-2021-21551. To legalny sterownik firmy Dell, usunięty przez „FudModule.dll” i jest on potencjalnie zagrożony.

Co ciekawe, wykorzystując po raz pierwszy na wolności lukę CVE-2021-21551, hakerzy byli w stanie wyłączyć na Windows wszystkie rozwiązania bezpieczeństwa jednocześnie.

Poniżej wymieniamy wszystkie złośliwe oprogramowania, narzędzia, droppery oraz programy ładujące używane przez hakerów z Lazarus w tym ataku:

  • HTTP(S) backdoor: BLINDINGCAN,
  • HTTP(S) downloader,
  • HTTP(S) uploader,
  • FudModule Rootkit,
  • Trojanized lecui,
  • Trojanized FingerText,
  • Trojanized sslSniffer.

Szczegóły na temat powyższych narzędzi znajdziecie tutaj.

Podziel się z innymi tym artykułem!