Osławiona północnokoreańska państwowa grupa hakerska Lazarus zaczęła wykorzystywać znaną lukę w sterowniku OEM opracowanym przez firmę Dell, aby uniknąć wykrycia przez rozwiązania bezpieczeństwa. Jest to doskonały przykład na to, dlaczego ważne jest, aby zawsze aktualizować oprogramowanie innych producentów komputerów, które często jest zaniedbywane, a także dodawać podatne wersje do list blokowych. „Najbardziej godnym uwagi narzędziem dostarczonym przez napastników był moduł trybu użytkownika, który uzyskał możliwość odczytu i zapisu pamięci jądra dzięki luce CVE-2021-21551 w legalnym sterowniku Dell” - stwierdzili w najnowszym raporcie badacze bezpieczeństwa z firmy ESET. „Jest to pierwsze w historii zarejestrowane nadużycie tej luki „na wolności”. Następnie napastnicy wykorzystali swój dostęp do zapisu w pamięci jądra, aby wyłączyć siedem mechanizmów, które system operacyjny Windows oferuje do monitorowania swoich działań, takich jak rejestr, system plików, tworzenie procesów, śledzenie zdarzeń itp. zasadniczo oślepiając rozwiązania bezpieczeństwa w bardzo ogólny i solidny sposób”.

Atakujący wykorzystywali fałszywe oferty pracy jako punkt wejścia

W nowych atakach, które ESET wykrył i przypisał Lazarusowi, znanemu również jako Hidden Cobra, hakerzy obrali sobie za cel pracownika firmy lotniczej w Holandii oraz pracownika organizacji medialnej w Belgii. Pracownik firmy lotniczej został namierzony za pośrednictwem LinkedIn z wiadomością, która dotyczyła dokumentu o nazwie Amzon_Netherlands.docx. Badacze nie byli w stanie odzyskać zawartości tego dokumentu, ale uważają, że była to prawdopodobnie fałszywa oferta pracy związana z programem kosmicznym Amazona, Project Kuiper. Do pracownika mediów w Belgii skierowano za pośrednictwem poczty elektronicznej dokument o nazwie AWS_EMEA_Legal_.docx, który, jak spekulują badacze, był fałszywą ofertą pracy związaną z legalnym stanowiskiem w Amazon Web Services.

Zobacz również:

• Dane w centrum świata
• Cyberatak na pracowników z polskiej branży zbrojeniowej
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Te przynęty byłyby zgodne z poprzednimi kampaniami ataków przypisywanymi Lazarusowi w 2019 i 2020 roku, takimi jak Operation In(ter)ception i Operation DreamJob, które były skierowane do pracowników z branży lotniczej i obronnej.

Złośliwe dokumenty wykorzystywały technikę zdalnego szablonu, aby pobrać i załadować złośliwy kod z zewnętrznego serwera, a następnie wdrożyć malware dropper, który inicjuje wieloetapowy payload.

Trojanizacja aplikacji i porywanie DLL

Zgodnie z technikami i procedurami Lazarusa zaobserwowanymi w przeszłości, napastnicy nadużywali legalnych aplikacji, które mają słabość ścieżki wyszukiwania DLL, co oznacza, że szukają konkretnie nazwanej biblioteki DLL i traktują priorytetowo katalogi zapisywane przez użytkownika przed folderami biblioteki systemowej. Oznacza to, że atakujący dostarczali te legalne aplikacje wraz ze złośliwą biblioteką DLL, a następnie wykonywali je, aby załadować DLL do pamięci w celu uniknięcia wykrycia przez programy bezpieczeństwa. W jednym z ataków hakerzy użyli złośliwego coloui.dll razem z colorcpl.exe (Color Control Panel), legalną aplikacją systemową, ale umieścili ją w folderze o nazwie C:\NProgramData\N. Ta aplikacja normalnie znajduje się w %WINDOWS%System32. W innym przypadku użyli credui.dll wraz z WFS.exe, który jest wtyczką do aplikacji do edycji tekstu Notepad++. Innym przykładem jest cryptsp.dll wraz z SMSvcHost.exe, który jest częścią biblioteki interfejsu użytkownika lecui służącej do tworzenia aplikacji w języku C++.

Te złośliwe droppery były wykonywane z parametrem wiersza poleceń, który określał klucz deszyfrujący w celu odszyfrowania ich payloadu, który służył jako drugi etap ataku. Atakujący wykorzystywali również trojany aplikacji, zazwyczaj open-source'owych, w tym libpcre, SQLite i SSLsniffer.

Jednym z payloadów był HTTPS backdoor wcześniej powiązany z atakami Lazarus i nazwany BLINDINGCAN w poprzednich raportach amerykańskiej agencji Cybersecurity and Infrastructure Security Agency (CISA). Jeden z dropperów został cyfrowo podpisany legalnym certyfikatem wydanym dla amerykańskiej firmy o nazwie „A” MEDICAL OFFICE, PLLC, który w przeszłości był widziany jako wykorzystywany w kampaniach Lazarus. Napastnicy wdrożyli również downloader HTTPS oraz uploader HTTP wykorzystywane do eksfiltracji danych i one również zostały dostarczone za pośrednictwem trojanów.

Rootkit wykorzystuje technikę bring-your-own-vulnerable-driver (BYOVD)

Napastnicy wdrożyli również moduł rootkita o nazwie FudModule, którego głównym zadaniem jest wyłączenie różnych funkcji monitorowania systemu, na których opierają się produkty bezpieczeństwa. Aby to zrobić, moduł rozmieścił legalny i cyfrowo podpisany sterownik o nazwie DBUtil_2_3.sys. Sterownik ten został opracowany przez firmę Dell i jest wykorzystywany przez kilka jej aplikacji. W zeszłym roku Dell załatał lukę w sterowniku polegającą na niewystarczającej kontroli dostępu (CVE-2021-21551), która mogła umożliwić eskalację uprawnień. Nawet jeśli w systemie nie ma tego podatnego sterownika, złośliwe oprogramowanie próbuje go samodzielnie zainstalować, upuszczając go w folderze C:\System32\drivers\ pod nazwą losowo wybraną spośród circlassmgr.sys, dmvscmgr.sys, hidirmgr.sys, isapnpmgr.sys, mspqmmgr.sys i umpassmgr.sys. Ta operacja wymaga już od atakujących posiadania uprawnień administracyjnych w systemie, więc sterownik nie jest wykorzystywany do eskalacji przywilejów, ale raczej do nadużywania jego funkcjonalności i interakcji z jądrem w sposób trudny do wykrycia przez rozwiązania bezpieczeństwa.

„Aby pomyślnie wykonać tę misję, trzeba przejść niewątpliwie wyrafinowany i czasochłonny proces: wybrać odpowiedni podatny na ataki sterownik; zbadać wnętrze Windowsa, ponieważ funkcjonowanie jądra nie jest dobrze udokumentowane; pracować z bazą kodu, która jest nieznana większości deweloperów; i wreszcie testować, ponieważ każdy nieobsłużony błąd jest ostatnim krokiem przed BSOD [blue screen of death], który może wywołać późniejsze śledztwo i utratę dostępu” - stwierdzili badacze z firmy ESET w dokumencie analizującym ten komponent.

Moduł ten wykorzystuje sterownik do wyłączenia siedmiu funkcji monitorowania systemu. Podczas gdy niektóre z tych technik zostały udokumentowane wcześniej przez badaczy bezpieczeństwa i oszustów w grach, nigdy wcześniej nie widziano ich wykorzystania w złośliwym oprogramowaniu na wolności. Może to stanowić precedens dla innych twórców złośliwego oprogramowania, zwłaszcza że paraliżują one rozwiązania zabezpieczające i monitorujące, które opierają się na tych funkcjach jądra.

„Z punktu widzenia obrońców wydaje się, że łatwiej jest ograniczyć możliwości początkowego dostępu niż zablokować solidny zestaw narzędzi, który zostałby zainstalowany po tym, jak zdeterminowani napastnicy zdobędą przyczółek w systemie. Jak w wielu przypadkach w przeszłości, pracownik padający ofiarą przynęty atakujących był tutaj początkowym punktem awarii. We wrażliwych sieciach, firmy powinny nalegać, aby pracownicy nie realizowali swoich osobistych agend, takich jak polowanie na pracę, na urządzeniach należących do infrastruktury firmy” - stwierdzili badacze.

Źródło: CSO