Η διαβόητη βορειοκορεατική ομάδα χάκερ «Lazarus» εθεάθη να εγκαθιστά ένα rootkit των Windows που καταχράται ένα πρόγραμμα οδήγησης υλικού της Dell σε μια επίθεση στο Bring Your Own Vulnerable Driver.
Η εκστρατεία spear-phishing εκτυλίχθηκε το φθινόπωρο του 2021 και οι επιβεβαιωμένοι στόχοι περιλαμβάνουν έναν ειδικό της αεροδιαστημικής στην Ολλανδία και έναν πολιτικό δημοσιογράφο στο Βέλγιο.
Σύμφωνα με την ESET, η οποία δημοσίευσε έκθεση για την εκστρατεία σήμερα, ο πρωταρχικός στόχος ήταν η κατασκοπεία και η κλοπή δεδομένων.
Κατάχρηση του προγράμματος οδήγησης της Dell για επιθέσεις BYOVD
Οι στόχοι αυτής της καμπάνιας με έδρα την ΕΕ στάλθηκαν με email ψεύτικες προσφορές εργασίας, αυτή τη φορά για την Amazon, ένα τυπικό και συνηθισμένο τέχνασμα κοινωνικής μηχανικής που χρησιμοποιούσαν οι χάκερ το 2022.
Ανοίγοντας αυτά τα έγγραφα, γίνεται λήψη ενός απομακρυσμένου προτύπου από μια διεύθυνση με σκληρό κώδικα , ακολουθούμενες από μολύνσεις που περιλαμβάνουν προγράμματα φόρτωσης κακόβουλου λογισμικού, droppers, προσαρμοσμένες κερκόπορτες και πολλά άλλα.
Η ESET αναφέρει ότι μεταξύ των εργαλείων που αναπτύσσονται σε αυτήν την καμπάνια, το πιο ενδιαφέρον είναι ένα νέο rootkit FudModule που κάνει κατάχρηση μιας τεχνικής BYOVD (Bring Your Own Vulnerable Driver) για να εκμεταλλευτεί μια ευπάθεια σε ένα πρόγραμμα οδήγησης υλικού της Dell για πρώτη φορά.
“Το πιο αξιοσημείωτο εργαλείο που παραδόθηκε από τους εισβολείς ήταν μια λειτουργική μονάδα λειτουργίας χρήστη που απέκτησε τη δυνατότητα ανάγνωσης και εγγραφής μνήμης πυρήνα λόγω της ευπάθειας CVE-2021-21551 σε ένα νόμιμο πρόγραμμα οδήγησης της Dell”, εξηγεί η ESET σε μια νέα αναφορά για την επίθεση. .