Le groupe de hackers Lazarus a simplement apporté son propre pilote Dell, qui n’a pas été corrigé pendant 12 ans, pour attaquer des cibles en Europe.

À l’aide de fausses offres d’emploi Amazon, le groupe de hackers Lazarus a distribué, entre autres, un rootkit sur les systèmes de leurs victimes, qui exploite une vulnérabilité dans un pilote matériel Dell pour manipuler la mémoire du noyau du système d’exploitation. Les assaillants ont simplement amené le conducteur, qui est resté sans patch pendant 12 ans, à la fête eux-mêmes.

Lazarus distribue des logiciels malveillants via de fausses offres d’emploi Amazon

Un expert néerlandais en aérospatiale et un journaliste politique en Belgique ont été victimes d’une campagne de spear phishing menée par le groupe de hackers nord-coréen Lazarus à l’automne 2021. Les attaquants se sont concentrés sur l’espionnage et le vol de données.

En envoyant de fausses offres d’emploi Amazon par e-mail, les pirates ont obtenu un premier accès à leurs cibles. Les attaquants ont de nouveau utilisé une approche similaire cette année pour distribuer des logiciels malveillants aux appareils macOS. Si la victime ouvre le document contenu, des chargeurs de logiciels malveillants, des droppers ou des portes dérobées sont automatiquement téléchargés en arrière-plan, ce qui permet à Lazarus d’accéder au système infecté.

Les pilotes matériels Dell ont été exploitables pendant 12 ans

Selon les chercheurs en sécurité d’ESET, une nouvelle intéressante de cette campagne est un nouveau rootkit FudModule. C’était la première fois que les pirates de Lazarus exploitaient une vulnérabilité (CVE-2021-21551) dans un pilote matériel Dell, qu’ils avaient eux-mêmes chargé sur le système attaqué dans le cadre d’une technique BYOVD (Bring Your Own Vulnerable Driver) afin d’utiliser le kernel -Lire et manipuler la mémoire.

« Les attaquants ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes que le système d’exploitation Windows propose pour surveiller ses actions, tels que : par exemple le registre, le système de fichiers, la création de processus, le suivi des événements, etc., qui ont essentiellement vaincu les solutions de sécurité de manière très générique et robuste.

ESET

Comme le rapporte BleepingComputer, la vulnérabilité exploitée par Lazarus dans le pilote matériel Dell (« dutil_2_3.sys« ) à l’un des cinq attaquants de vulnérabilités « pendant 12 ans avant que le fabricant d’ordinateurs ne publie enfin des mises à jour de sécurité pour eux.Et puisque le pilote est signé, le système d’exploitation permet aux pirates de l’installer. Les chercheurs en sécurité de Rapid 7 ont déjà alerté en décembre 2021 sur l’exploitation possible de ce pilote pour des attaques BYOVD.

Plus d’outils de la boîte à outils Lazarus

En plus du pilote de Dell, Lazarus a parfois utilisé une porte dérobée HTTP(S) protégée par une marque dans la campagne décrite. L’outil nommé « AVEUGLECAN» Les agences de renseignement américaines ont découvert pour la première fois en août 2020.

« La porte dérobée prend en charge un ensemble complet de 25 commandes couvrant les actions sur les fichiers, l’exécution des commandes, la configuration des communications C2, la prise de captures d’écran, la création et la fin des processus et l’exfiltration des informations système. »

ordinateur qui saigne

Lazarus a également utilisé un téléchargeur HTTP(S) pour l’exfiltration sécurisée des données et diverses applications open source trojanisées telles que wolfSSL et FingerText.