Хакеры Lazarus атакуют драйверы Dell с помощью нового руткита

Похоже, разработчики блокчейнов и художники — не единственные, на кого Lazarus Group нацеливается с поддельными предложениями о работе.

Эксперты по аэрокосмической отрасли и политические журналисты в Европе также недавно стали жертвами той же формы атак социальной инженерии с той же целью — корпоративный шпионаж и похищение данных с бизнес-устройства.

Однако уникальность этой кампании заключается в том, что цели были заражены законными драйверами.

Отключение механизмов мониторинга

Исследователи кибербезопасности из ESET недавно обнаружили, что Lazarus Group – известная северокорейская организация, занимающаяся угрозами, спонсируемая государством, обращалась к вышеупомянутым лицам с поддельными предложениями о работе от Amazon.

У тех, кто принял предложение и загрузил поддельные PDF-файлы с описанием работы, был установлен старый уязвимый драйвер Dell. Это дало злоумышленникам возможность скомпрометировать конечные точки и украсть любые данные, которые они искали. for.

"Самым заметным инструментом, доставленным злоумышленниками, был модуль пользовательского режима, который получил возможность чтения и записи памяти ядра из-за уязвимости CVE-2021-21551 в законном драйвере Dell", — сказал ЭСЕТ. «Это первое зарегистрированное злоупотребление этой уязвимостью в дикой природе».

Это дало Lazarus возможность отключить некоторые механизмы мониторинга Windows, что позволило ему настроить реестр, файловую систему, создание процессов, отслеживание событий и тому подобное, далее сообщает ESET. Это «по сути ослепляло решения безопасности очень общим и надежным способом».