黑客利用Dell驱动程序漏洞在目标计算机上部署Rootkit

据观察，朝鲜支持的洛佐鲁什集团利用戴尔固件驱动程序中的漏洞，部署了一个Windows rootkit，这突出表明了国家赞助的对手所采取的新策略。

发生在2021年秋天的”自带脆弱司机” ( BYOVD )袭击是威胁行为体针对航空航天和国防工业的间谍活动”In(ter)ception 行动”的另一个变种。

  ESET研究员彼得·卡尔奈( Peter Kálnai )说：”这场运动的起点是那些含有恶意的亚马逊主题文件的电子邮件，并针对荷兰一家航天公司的雇员和比利时的一名政治记者。

攻击链随着诱饵文档的打开而展开，导致恶意代码的分发，这些恶意代码是开源项目的特洛伊木马版本，这证实了谷歌的美国麦迪安网路安全公司和微软最近的报告。

  ESET说，除了基于HTTPS的下载者和上载者之外，它还发现了洛佐鲁什的武器版本FingerText和sslSniffer的证据。

这些入侵也为该集团的后门选择铺平了道路- -被称为” BLINDINGCAN ” – -也被称为” AIRDRY “和” ZetaNile ” ——一个运营商可以用来控制和探索受损系统。

但值得注意的是，2021年的攻击是一个rootkit模块，它利用了Dell驱动程序的缺陷来获得读写内核内存的能力。该问题被追踪为CVE – 2021 – 21551，涉及dbutil _ 2 _ 3 . sys中的一组关键权限提升漏洞。

  K á lnai指出，”这是对CVE‑2021‑21551漏洞的首次记录滥用。该工具与漏洞相结合，禁用对所有受影响机器的安全解决方案的监控。

根据ESET的说法，以前没有记录的恶意软件名为FudModule，它通过多种方法来实现它的目标，这些方法要么是以前不知道的，要么只熟悉专门的安全研究人员和(反)欺骗开发人员。

K á lnai说，攻击者随后使用内核内存写访问来禁用Windows操作系统提供的7种机制来监控其行为，如注册表、文件系统、进程创建、事件跟踪等，基本上以一种非常通用和健壮的方式来蒙蔽安全解决方案。毫无疑问，这需要深入的研究、开发和测试技能。

这并不是威胁行为者第一次使用易受攻击的驱动程序来安装其rootkit攻击。就在上个月，AhnLab的ASEC详细介绍了一个名为” ene.sys “的合法驱动程序的开发，以解除安装在机器上的安全软件的武装。

这些发现表明，尽管执法和更广泛的研究界对集体的活动进行了严格的审查，但拉撒路集团多年来一直坚持创新和改变策略的能力。