发布于2022年10月15日3年前 据观察,朝鲜支持的 Lazarus Group 利用戴尔固件驱动程序中的漏洞部署 Windows rootkit,突出了国家支持的对手采用的新策略。 2021 年秋季发生的自带易受攻击的驱动程序 ( BYOVD ) 攻击是威胁参与者的间谍活动的另一种变体,称为Operation In(ter)ception,针对航空航天和国防工业。 “该活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始,目标是荷兰一家航空航天公司的员工和比利时的一名政治记者,”ESET 研究员 Peter Kálnai说。 攻击链在引诱文件打开后展开,导致恶意 dropper 的分发,这些是开源项目的木马化版本,证实了 Google 的Mandiant和微软最近的报告。 ESET 表示,除了基于 HTTPS 的下载器和上传器之外,它还发现了 Lazarus 丢弃了FingerText和 sslSniffer(wolfSSL 库的一个组件)的武器化版本的证据。 这些入侵还为该组织选择的被称为 BLINDINGCAN 的后门(也称为 AIRDRY 和 ZetaNile)铺平了道路,操作员可以使用它来控制和探索受损系统。 但 2021 年攻击值得注意的是一个 rootkit 模块,该模块利用戴尔驱动程序漏洞获得读写内核内存的能力。该问题被跟踪为CVE-2021-21551,与 dbutil_2_3.sys 中的一组关键权限提升漏洞有关。 Kálnai 指出:“[这] 代表了首次记录到的对 CVE-2021-21551 漏洞的滥用。” “这个工具与漏洞相结合,会禁用对受感染机器上所有安全解决方案的监控。” 根据 ESET 的说法,这种名为 FudModule 的先前未记录的恶意软件通过多种方法实现其目标,“要么以前不知道,要么只为专业的安全研究人员和(反)作弊开发人员所熟悉”。 “攻击者随后使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作,如注册表、文件系统、进程创建、事件跟踪等,基本上以非常通用和强大的方式使安全解决方案失明”卡尔奈说。“毫无疑问,这需要深入的研究、开发和测试技能。” 这不是威胁行为者第一次使用易受攻击的驱动程序来发起其 rootkit 攻击。就在上个月,AhnLab 的 ASEC详细介绍了利用名为“ene.sys”的合法驱动程序来解除机器中安装的安全软件的情况。 尽管执法部门和更广泛的研究界对该集体的活动进行了严格审查,但这些发现证明了 Lazarus Group 多年来根据需要进行创新和转变策略的坚韧和能力。 该公司表示:“Lazarus 活动实施的多样性、数量和怪癖定义了这一群体,以及它执行网络犯罪活动的所有三大支柱:网络间谍、网络破坏和追求经济利益。”
