04.10.2022 | Новый руткит развязывает руки Lazarus: злоумышленники устанавливают уязвимый драйвер на устройства от Dell |
Все началось с исследования специалистов из ESET, которые занялись расследованием одной из вредоносных кампаний Lazarus , в ходе которой злоумышленники использовали поддельные предложения о работе в Amazon . Абсолютно классическая схема: при открытии фейкового документа происходит заражение устройства жертвы дропперами, бэкдорами и прочими вредоносами. Однако исследователей заинтересовал новый инструмент, которым решили воспользоваться злоумышленники – руткит под названием FudModule, использующий метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость CVE-2021-21551 в драйвере устройств от Dell. Эта уязвимость развязывает киберпреступникам руки, открывая полный доступ к памяти ядра. Специалисты отметили, что это первый случай использования CVE-2021-21551 в дикой природе. Получив доступ к записи в память ядра, злоумышленники отключают механизмы, с помощью которых можно следить за действиями в Windows, тем самым просто ослепляя любые системы защиты. Эксперты ESET уточнили, что в исследуемой ими атаке Lazarus использовала CVE-2021-21551 в драйвере оборудования Dell ("dbutil_2_3.sys"). Этот драйвер подвержен пяти уязвимостям, которые были исправлены только спустя 12 лет после их обнаружения.
Подписанный драйвер, которым воспользовались злоумышленники. Стоит отметить тот факт, что исследователи из Rapid 7 еще в декабре 2021 года предупредили о возможной угрозе, которую представляет этот драйвер. По их словам, виной этому стала странная политика исправлений Dell и сам набор уязвимостей, позволяющий получить доступ к ядру даже на последних подписанных версиях. |
Проверить безопасность сайта