Il gruppo Lazarus, sostenuto dalla Corea del Nord, è stato osservato mentre distribuiva un rootkit per Windows sfruttando un exploit in un driver del firmware Dell, evidenziando le nuove tattiche adottate dall’avversario sponsorizzato dallo Stato. L’attacco BYOVD (Bring Your Own Vulnerable Driver), avvenuto nell’autunno del 2021, è un’altra variante dell’attività di spionaggio dell’attore chiamata Operation In(ter)ception, diretta contro le industrie aerospaziali e della difesa. “La campagna è iniziata con e-mail di spear-phishing contenenti documenti dannosi a tema Amazon e ha preso di mira un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio”, ha dichiarato Peter Kálnai, ricercatore ESET.
Le catene di attacco si sono sviluppate dopo l’apertura dei documenti esca, portando alla distribuzione di dropper dannosi che erano versioni troianizzate di progetti open source, corroborando i recenti rapporti di Mandiant di Google e Microsoft. ESET ha dichiarato di aver scoperto prove di Lazarus che rilasciava versioni armate di FingerText e sslSniffer, un componente della libreria wolfSSL, oltre a downloader e uploader basati su HTTPS. Le intrusioni hanno anche aperto la strada alla backdoor scelta dal gruppo, denominata BLINDINGCAN – nota anche come AIRDRY e ZetaNile – che un operatore può utilizzare per controllare ed esplorare i sistemi compromessi. Ma ciò che è degno di nota negli attacchi del 2021 è un modulo rootkit che sfrutta una falla dei driver Dell per ottenere la capacità di leggere e scrivere la memoria del kernel. Il problema, segnalato come CVE-2021-21551, riguarda una serie di vulnerabilità critiche di escalation dei privilegi in dbutil_2_3.sys. “Questo rappresenta il primo abuso registrato della vulnerabilità CVE-2021-21551”, ha osservato Kálnai. “Questo strumento, in combinazione con la vulnerabilità, disabilita il monitoraggio di tutte le soluzioni di sicurezza sulle macchine compromesse”.
“Gli aggressori hanno quindi utilizzato l’accesso in scrittura alla memoria del kernel per disabilitare sette meccanismi che il sistema operativo Windows offre per monitorare le sue azioni, come il registro, il file system, la creazione di processi, il tracciamento degli eventi e così via, in pratica accecando le soluzioni di sicurezza in modo molto generico e robusto”, ha detto Kálnai. “Indubbiamente questo ha richiesto profonde capacità di ricerca, sviluppo e test”.
Non è la prima volta che l’attore delle minacce ricorre all’uso di un driver vulnerabile per sferrare i suoi attacchi rootkit. Proprio il mese scorso, l’ASEC di AhnLab ha descritto in dettaglio lo sfruttamento di un driver legittimo noto come “ene.sys” per disattivare il software di sicurezza installato nelle macchine. Le scoperte sono una dimostrazione della tenacia del Gruppo Lazarus e della sua capacità di innovare e modificare le proprie tattiche a seconda delle necessità nel corso degli anni, nonostante l’intenso controllo delle attività del collettivo da parte delle forze dell’ordine e della più ampia comunità di ricerca. “La diversità, il numero e l’eccentricità dell’implementazione delle campagne di Lazarus definiscono questo gruppo, così come il fatto che esso si occupi di tutti e tre i pilastri delle attività criminali informatiche: spionaggio informatico, sabotaggio informatico e ricerca di guadagni finanziari”, ha dichiarato la società.
Lazarus utilizza MagicRat: nuovo trojan scoperto da Cisco
Lazarus insiste nelle truffe cripto. Colpiti utenti Intel e macOS
