Hackers aprovechan vulnerabilidad del Controlador de Dell para implementar rootkit en computadoras objetivo
Hackers de Lazarus Group están aprovechando una vulnerabilidad en el controlador de Dell para implementar rootkit en computadoras
Se ha observado que Lazarus Group, respaldado por Corea del Norte, implementa un rootkit de Windows aprovechando un exploit en un controlador de firmware de Dell, destacando las nuevas tácticas adoptadas por el adversario patrocinado por el estado.
El ataque Bring Your Own Vulnerable Driver (BYOVD), que tuvo lugar en otoño de 2021, es otra variante de la actividad orientada al espionaje del atacante, llamada Operation In(ter)ception, que está dirigida contra las industrias aeroespacial y de defensa.
Las cadenas de ataque se desarrollan tras la apertura de los documentos señuelo, lo que condujo a la distribución de droppers maliciosos que eran versiones troyanizadas de proyectos de código abierto, lo que corrobora informes recientes de Mandiant de Google y Microsoft.
ESET dijo que descubrió evidencia de que Lazarus lanzó versiones armadas de FingerText y sslSniffer, un componente de la biblioteca wolfSSL, además de descargadores y cargadores basados en HTTPS.
Las intrusiones también allanaron el camino para la backdoor elegida por el grupo, denominada BLINDINGCAN, también conocida como AIRDRY y ZetaNile, que un operador puede usar para controlar y explorar sistemas comprometidos.
Pero lo notable de los ataques de 2021 fue un módulo de rootkit que aprovechó una falla del controlador de Dell para obtener la capacidad de leer y escribir en la memoria del kernel. El problema, rastreado como CVE-2021-21551, se relaciona con un conjunto de vulnerabilidades críticas de escalada de privilegios en dbutil_2_3.sys.
Denominado FudModule, el malware previamente indocumentado logra sus objetivos por medio de múltiples métodos «no conocidos antes o familiares solo para investigadores de seguridad especializados y desarrolladores (anti-)trampas», dijo ESET.
Esta no es la primera vez que el atacante recurre al uso de un controlador vulnerable para montar sus ataques de rootkit. El mes pasado, ASEC de AhnLab detalló la explotación de un controlador legítimo conocido como «ene.sys» para desarmar el software de seguridad instalado en las máquinas.
Los hallazgos son una demostración de la tenacidad y la capacidad de Lazarus Group para innovar y cambiar sus tácticas según sea necesario a lo largo de los años a pesar del intenso escrutinio de las actividades del colectivo tanto por parte de las fuerzas del orden público como de la comunidad investigadora en general.