O grupo de hackers norte-coreano Lazarus foi visto instalando um rootkit do Windows que explora um driver de hardware Dell em um ataque BYOVD (sigla em inglês para bring your own vulnerable driver, ou traga seu próprio driver vulnerável). Rookit é um malware que, ao ser instalado, permite o acesso privilegiado a um sistema.
A campanha de spear phishing se desenrolou entre setembro e novembro de 2021, e os alvos confirmados incluem um especialista aeroespacial na Holanda e um jornalista político na Bélgica.
De acordo com a ESET, que publicou um relatório sobre a campanha, o objetivo principal era espionagem e roubo de dados. Os alvos desta campanha na União Europeia receberam ofertas de emprego falsas por e-mail, desta vez para a Amazon, um truque típico e comum de engenharia social empregado por hackers. A abertura desses documentos baixa um modelo remoto de um endereço codificado, seguido por infecções envolvendo carregadores de malware, droppers, backdoors personalizados e muito mais.
A ESET relata que entre as ferramentas implantadas pelos hackers, a mais interessante é um novo rootkit FudModule que usa a técnica BYOVD para explorar uma vulnerabilidade em um driver de hardware Dell pela primeira vez.
“A ferramenta mais notável fornecida pelos invasores foi um módulo de modo de usuário que ganhou a capacidade de ler e gravar memória do kernel devido à vulnerabilidade CVE-2021-21551 em um driver Dell legítimo”, explica a ESET em um novo relatório sobre o ataque . “Este é o primeiro uso registrado dessa vulnerabilidade no mercado.”
Segundo a ESET, os invasores usaram o acesso de gravação da memória do kernel para desabilitar sete mecanismos que o sistema operacional Windows oferece para monitorar suas ações, como registro, sistema de arquivos, criação de processos, rastreamento de eventos, etc., basicamente cegando as soluções de segurança de uma maneira muito genérica e robusta.
Veja isso
Dell diz que não adotará recurso de segurança Pluton da Microsoft
Bug em software da Dell libera execução remota de código
Um ataque BYOVD ocorre quando os operadores de ameaças carregam drivers legítimos e assinados no Windows que também contêm vulnerabilidades conhecidas. À medida que os drivers do kernel são assinados, o Windows permite que sejam instalados no sistema operacional. No entanto, os operadores de ameaças agora podem explorar as vulnerabilidades do driver para iniciar comandos com privilégios em nível do kernel.
Nesse ataque, o Lazarus estava explorando a vulnerabilidade CVE-2021-21551 em um driver de hardware Dell (“dbutil_2_3.sys”), que corresponde a um conjunto de cinco falhas que permaneceram exploráveis por 12 anos antes que o fornecedor do computador finalmente enviasse atualizações de segurança para isso. Parece que o grupo de hackers já estava bem ciente dessa falha e explorou o driver Dell bem antes de os analistas de segurança emitirem seus avisos públicos.