研究人员发现,臭名昭著的朝鲜黑客组织 Lazarus 部署了新的 Windows Rootkit,该恶意软件利用了戴尔驱动程序的漏洞。
鱼叉邮件攻击在 2021 年秋季开始,已经确认荷兰的一名航空航天专家与比利时的一名政治记者被攻击。ESET 表示,本次攻击活动的主要目标是进行间谍活动与数据盗窃。
【恶意文档】
ESET 在报告中表示,攻击者所使用的全新 Rootkit 名为 FudModule,该恶意软件利用戴尔硬件驱动程序中的漏洞进行攻击。
攻击者利用戴尔驱动程序中的 CVE-2021-21551 漏洞,获取读写内核内存的能力。ESET 也表示,这也是有记录以来首次在野发现对该漏洞的利用。
攻击者直接操控内核内存来禁用 Windows 操作系统能够跟踪其的七种安全机制,如注册表、文件系统、进程创建、事件跟踪等,使安全解决方案失效。
【失效证书】
Lazarus 利用了戴尔硬件驱动程序(dbutil_2_3.sys)中的漏洞(CVE-2021-21551),在戴尔推送安全更新前该漏洞已经存在了十二年。
【驱动程序】
2021 年 12 月,Rapid 7 的研究人员表示:“戴尔的修复并不完全,该驱动程序仍然是被攻击者青睐的目标”。看起来,Lazarus 的攻击者也非常了解该漏洞,并且在安全分析人员发布之前就开始有针对性的利用。
ESET 确定 BLINDINGCAN 后门支持 25 个命令,包括文件操作、命令执行、C&C 通信、屏幕截取、进程创建与系统信息泄露等。
【数据回传】
攻击活动中不仅有 Rootkit FudModule,还有用于数据泄露的上传工具。以及各种木马化的开源应用程序,如 wolfSSL 与 FingerText。
将开源工具木马化是 Lazarus 的一贯风格,微软在研究报告中也提到了这一点。攻击者已经开始将魔爪伸向了 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 等程序。
https://www.bleepingcomputer.com/news/security/lazarus-hackers-abuse-dell-driver-bug-using-new-fudmodule-rootkit/
精彩推荐