Abuso del controlador Dell para ataques BYOVD

Se vio al notorio grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.

La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.

Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.

Abuso del controlador Dell para ataques BYOVD

Los objetivos de esta campaña en la UE recibieron ofertas de trabajo falsas por correo electrónico, esta vez para Amazon,  un  truco de ingeniería social  típico  y  común empleado por los piratas informáticos  en 2022.

Al abrir estos documentos, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que involucran cargadores de malware, droppers, puertas traseras personalizadas y más.

ESET informa que entre las herramientas implementadas en esta campaña, la más interesante es un nuevo rootkit FudModule que abusa de una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez.

"La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo", explica ESET en un  nuevo informe  sobre el ataque . .

"Este es el primer abuso registrado de esta vulnerabilidad en la naturaleza".

Luego, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. "

Un ataque Bring Your Own Vulnerable Driver (BYOVD) es cuando los actores de amenazas cargan controladores legítimos y firmados en Windows que también contienen vulnerabilidades conocidas. Como los controladores del núcleo están firmados, Windows permitirá que el controlador se instale en el sistema operativo.

Sin embargo, los actores de amenazas ahora pueden explotar las vulnerabilidades del controlador para ejecutar comandos con privilegios a nivel de kernel.

En este ataque, Lazarus estaba explotando la vulnerabilidad CVE-2021-21551 en un  controlador de hardware de Dell  ("dbutil_2_3.sys"), que corresponde a un  conjunto de cinco fallas  que permanecieron explotables durante 12 años antes de que el proveedor de la computadora finalmente lanzara actualizaciones de seguridad para eso.


En diciembre de 2021, los investigadores de Rapid 7  advirtieron que este controlador en particular  es un excelente candidato para los ataques BYOVD debido a las soluciones inadecuadas de Dell, lo que permite la ejecución del código del kernel incluso en versiones firmadas recientes.

Parece que Lazarus ya estaba al tanto de este potencial de abuso y explotó el controlador de Dell mucho antes de que los analistas de seguridad emitieran sus advertencias públicas.

"Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. " continuó el informe de ESET.

Para aquellos interesados ​​en el aspecto BYOVD del ataque Lazarus, pueden profundizar en los detalles en este  documento técnico de 15 páginas  que ESET publicó por separado.

BLINDINGCAN y otras herramientas

ESET agregó que el grupo implementó su puerta trasera personalizada HTTP(S) 'BLINDINGCAN', descubierta por primera vez por la inteligencia de EE  . UU . en agosto de 2020  y atribuida a Lazarus por Kaspersky  en octubre de 2021 .

El troyano de acceso remoto (RAT) 'BLINDINGCAN' muestreado por ESET parece ejecutarse con un respaldo significativo de un tablero del lado del servidor no documentado que realiza la validación de parámetros.

La puerta trasera admite un amplio conjunto de 25 comandos, que cubren acciones de archivos, ejecución de comandos, configuración de comunicación C2, captura de pantalla, creación y finalización de procesos y exfiltración de información del sistema.

Otras herramientas implementadas en la campaña presentada son FudModule Rootkit, un cargador HTTP(S) utilizado para la filtración segura de datos, y varias aplicaciones de código abierto troyanas como wolfSSL y FingerText.

Troyanizar herramientas de código abierto es algo que Lazarus continúa haciendo, ya que  un informe de Microsoft de ayer  menciona que esta técnica se usó con PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta