Ngày 03/10/22
Nhóm tin tặc Lazarus do chính phủ Triều Tiên hậu thuẫn đã bị phát hiện triển khai bộ rootkit Windows bằng cách khai thác lỗ hổng trong Dell drivers, cho thấy các chiến thuật mới của nhóm này.
Cuộc tấn công "Hãy mang theo người lái xe dễ bị tổn thương của bạn" (Bring Your Own Vulnerable Driver), diễn ra vào mùa thu năm 2021, là một biến thể khác của hoạt động gián điệp có định hướng của các tin tặc trong "Chiến Dịch Chặn Và Đọc" nhằm vào các ngành công nghiệp quốc phòng và hàng không vũ trụ.
Nhà nghiên cứu Peter Kálnai của ESET cho biết: “Chiến dịch bắt đầu với các email lừa đảo có chứa các tài liệu độc hại theo chủ đề Amazon và nhắm mục tiêu vào một nhân viên của một công ty hàng không vũ trụ ở Hà Lan và một nhà báo chính trị ở Bỉ.
Chuỗi tấn công mở ra khi các tài liệu lừa gạt được mở ra, dẫn đến việc các mã nguồn độc hại được bung ra, chúng là phiên bản trojanized của các dự án mã nguồn mở, theo các báo cáo gần đây từ Mandiant của Google và Microsoft.
ESET cho biết họ đã phát hiện ra bằng chứng về việc Lazarus đã tung ra các phiên bản trojanized của FingerText và sslSniffer, một thành phần của thư viện wolfSSL, cộng thêm các trình tải xuống và tải lên dựa trên HTTP. Các cuộc xâm nhập cũng mở đường cho cửa hậu được lựa chọn của nhóm tin tặc có tên BLINDINGCAN - còn được gọi là AIRDRY và ZetaNile - mà chúng có thể sử dụng để kiểm soát và lục lọi các hệ thống bị xâm phạm.
Nhưng điều đáng chú ý về các cuộc tấn công năm 2021 là một mô-đun rootkit đã khai thác một lỗ hổng trong Dell driver để đạt được khả năng đọc và ghi bộ nhớ hạt nhân (kernel memory). Cuộc tấn công đó được theo dõi với mã nhận dạng CVE-2021-21551, liên quan đến một tập hợp các lỗ hổng soán quyền điều khiển nghiêm trọng trong tập tin dbutil_2_3.sys.
"Cuộc tấn công đại diện cho việc lạm dụng lỗ hổng có mã nhận dạng CVE ‑ 2021‑21551 đầu tiên được ghi nhận," Kálnai lưu ý. "Công cụ này kết hợp với lỗ hổng bảo mật sẽ vô hiệu hóa việc giám sát tất cả các giải pháp bảo mật trên các máy bị xâm nhập."
Được đặt tên là FudModule, phần mềm độc hại chưa từng biết đến trước đây đạt được mục tiêu của nó thông qua nhiều phương pháp "chưa từng được biết đến trước đây hoặc chỉ quen thuộc với các nhà nghiên cứu bảo mật chuyên biệt và các nhà phát nghiên cứu an ninh mạng chống gian lận", theo ESET.
"Các tin tặc sau đó đã sử dụng quyền truy cập để ghi vào bộ nhớ nhân, vô hiệu hóa bảy cơ chế mà hệ điều hành Windows cung cấp để giám sát các hoạt động của nó, như đăng ký, hệ thống tập tin, tạo quy trình, theo dõi sự kiện, v.v., về cơ bản làm mù các giải pháp bảo mật theo một cách rất chung chung và mạnh mẽ ", Kálnai nói. "Không nghi ngờ gì nữa, điều này đòi hỏi kỹ năng nghiên cứu, phát triển và thử nghiệm sâu."
Đây không phải là lần đầu tiên tin tặc nhắm vào lỗ hổng của driver để thực hiện các cuộc tấn công để cài rootkit. Mới tháng trước, ASEC của AhnLab đã trình bày chi tiết việc khai thác một trình driver hợp pháp được gọi là "ene.sys" để vô hiệu hóa phần mềm bảo mật được cài đặt trong máy.
Những phát hiện này là một minh chứng cho sự bền bỉ và khả năng đổi mới và thay đổi chiến thuật theo yêu cầu của nhóm tin tặc Lazarus trong nhiều năm, bất chấp sự giám sát gắt gao của cơ quan thực thi pháp luật và cộng đồng nghiên cứu trên toàn thế giới.
Công ty (ESET) cho biết: "Sự đa dạng, số lượng và tính lập dị trong việc thực hiện các chiến dịch của Lazarus đó là những đặc trưng của nhóm này, cũng như việc nó thực hiện cả ba mục tiêu cùng một lúc trong các hoạt động tội phạm mạng: gián điệp mạng, phá hoại mạng và theo đuổi lợi nhuận tài chính".
Nguồn: httpssss://thehackernews.com/2022/10/hackers-exploiting-dell-driver.html