黑客利用Dell驱动程序漏洞在目标计算机上部署Rootkit

据观察，朝鲜支持的Lazarus集团利用戴尔固件驱动程序中的漏洞部署了Windows rootkit，突显了由国家赞助的对手采用的新策略。

2021秋季发生的“自带易受攻击的驾驶员”（BYOVD）攻击是威胁行为人的间谍导向活动的另一种变体，称为“行动（ter）”概念，针对航空航天和国防工业。

ESET研究员Peter Kálnai表示：“这场运动以包含恶意亚马逊主题文件的矛式网络钓鱼邮件开始，目标是荷兰一家航空航天公司的一名员工和比利时的一名政治记者”。

攻击链在诱饵文档打开后展开，导致恶意滴管的分发，这些滴管是开源项目的特洛伊木马版本，证实了谷歌Mandiant和微软最近的报告。

ESET表示，它发现了Lazarus除了基于HTTPS的下载器和上传器之外，还丢弃了武器化版本的FingerText和sslSniffer（wolfSSL库的一个组件）的证据。

这些入侵也为该集团选择的后门“BLINDINGCAN–；”铺平了道路；也称为AIRDRY和ZetaNile；操作员可以使用它来控制和探索受损系统。

但值得注意的是，2021的攻击是一个rootkit模块，该模块利用Dell驱动程序的缺陷来获得读取和写入内核内存的能力。该问题被追踪为CVE-2021-21551，与dbutil_2_3.sys中的一组关键权限提升漏洞有关。

卡尔奈指出：“这是有记录以来第一次滥用CVE-2021-21551漏洞”。“此工具与该漏洞结合使用，将禁用对受损机器上的所有安全解决方案的监控。”

ESET称，这一名为FudModule的恶意软件之前未经备案，通过多种方法实现其目标，“要么以前不知道，要么只有专业安全研究人员和（反）欺诈开发人员才熟悉”。

Kálnai表示：“攻击者随后使用其内核内存写入访问来禁用Windows操作系统提供的七种机制来监控其操作，如注册表、文件系统、进程创建、事件跟踪等，基本上以一种非常通用和健壮的方式使安全解决方案蒙蔽双眼”。“毫无疑问，这需要深入的研究、开发和测试技能”。

这已经不是威胁行为体第一次使用易受攻击的驱动程序发起rootkit攻击。就在上个月，AhnLab的ASEC详细描述了一个名为“ene.sys”的合法驱动程序被用来解除机器中安装的安全软件的攻击。

这些发现表明，尽管执法部门和更广泛的研究界对该集体的活动进行了严格的审查，但多年来，拉扎勒斯集团仍坚韧、有能力根据需要进行创新和改变策略。

该公司表示：“Lazarus运动实施的多样性、数量和怪癖定义了这一群体，以及它执行网络犯罪活动的所有三大支柱：网络间谍、网络破坏和追求经济利益”。