Новый руткит развязывает руки Lazarus: злоумышленники устанавливают уязвимый драйвер на устройства от Dell

Все началось с исследования специалистов из ESET, которые занялись расследованием одной из вредоносных кампаний Lazarus, в ходе которой злоумышленники использовали поддельные предложения о работе в Amazon. Абсолютно классическая схема: при открытии фейкового документа происходит заражение устройства жертвы дропперами, бэкдорами и прочими вредоносами.

Однако исследователей заинтересовал новый инструмент, которым решили воспользоваться злоумышленники – руткит под названием FudModule, использующий метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость CVE-2021-21551 в драйвере устройств от Dell. Эта уязвимость развязывает киберпреступникам руки, открывая полный доступ к памяти ядра. Специалисты отметили, что это первый случай использования CVE-2021-21551 в дикой природе.

Получив доступ к записи в память ядра, злоумышленники отключают механизмы, с помощью которых можно следить за действиями в Windows, тем самым просто ослепляя любые системы защиты.

Эксперты ESET уточнили, что в исследуемой ими атаке Lazarus использовала CVE-2021-21551 в драйвере оборудования Dell ("dbutil_2_3.sys"). Этот драйвер подвержен пяти уязвимостям, которые были исправлены только спустя 12 лет после их обнаружения.

Подписанный драйвер, которым воспользовались злоумышленники.

Стоит отметить тот факт, что исследователи из Rapid 7 еще в декабре 2021 года предупредили о возможной угрозе, которую представляет этот драйвер. По их словам, виной этому стала странная политика исправлений Dell и сам набор уязвимостей, позволяющий получить доступ к ядру даже на последних подписанных версиях.