摘要: 据观察,朝鲜支持的Lazarus集团通过利用戴尔固件驱动程序中的漏洞来部署Windows根工具包,突出了国家赞助的对手采用的新策略。 发生在2021年秋季的“带上自己的易受攻击的司机”(BYOVD)攻击是威胁行为者以间谍为导向的活动的另一种变体,称为针对航空...
据观察,朝鲜支持的Lazarus集团通过利用戴尔固件驱动程序中的漏洞来部署Windows根工具包,突出了国家赞助的对手采用的新策略。
发生在2021年秋季的“带上自己的易受攻击的司机”(BYOVD)攻击是威胁行为者以间谍为导向的活动的另一种变体,称为针对航空航天和国防工业的“行动”。“ In(ter)ception” 。
“该活动始于包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件,并针对荷兰一家航空航天公司的一名员工和比利时的一名政治记者,”ESET研究员Peter Kálnai说。
攻击链在诱饵文件打开后展开,导致恶意丢弃器的分发,这些丢弃器是开源项目的木马化版本,证实了谷歌Mandiant和微软最近的报道。
ESET表示,除了基于HTTPS的下载器和上传器之外,它还发现了拉撒路丢弃武器化版本的手指文本和ssl嗅探器的证据,这是狼SSL库的一个组成部分。
这些入侵还为该集团选择的后门铺平了道路,称为盲人 - 也称为AIRDRY和ZetaNile - 操作员可以使用它来控制和探索受损系统。
但是,2021年攻击值得注意的是一个rootkit模块,该模块利用戴尔驱动程序缺陷来获得读取和写入内核内存的能力。该问题(作为 CVE-2021-21551)进行跟踪,与dbutil_2_3.sys中的一组严重权限提升漏洞有关。
“[这]代表了CVE-2021-21551漏洞的首次记录滥用,”Kálnai指出。“此工具与漏洞相结合,禁用了对受感染计算机上的所有安全解决方案的监视。
根据ESET的说法,这种以前未记录的恶意软件名为FudModule,它通过多种方法实现其目标,“要么以前不知道,要么只有专门的安全研究人员和(反)作弊开发人员才熟悉”。
“然后,攻击者使用他们的内核内存写入访问权限禁用Windows操作系统提供的七种机制来监视其操作,例如注册表,文件系统,进程创建,事件跟踪等,基本上以非常通用和强大的方式使安全解决方案失明,”Kálnai说。“毫无疑问,这需要深入的研究、开发和测试技能。
这不是威胁参与者第一次使用易受攻击的驱动程序来发起其 rootkit 攻击。就在上个月,AhnLab的ASEC详细介绍了利用一种称为“ene.sys”的合法驱动程序来解除安装在机器中的安全软件。
这些发现证明了拉撒路集团多年来的坚韧不拔和能力,尽管执法部门和更广泛的研究界都对该组织的活动进行了严格的审查,但仍能根据需要进行创新和改变策略。
“Lazarus活动实施的多样性,数量和怪癖定义了这个群体,以及它执行网络犯罪活动的所有三大支柱:网络间谍活动,网络破坏和追求经济利益,”该公司表示。
稿源:TheHackerNews、中文化:游侠安全网