Lazarus-Hacker nutzen Dell-Treiber-Bug für BYOVD-Angriffe aus

ESET-Forscher haben die bösartigen Aktivitäten von Lazarus aufgedeckt, einer nordkoreanischen Hackergruppe, die eine Schwachstelle im Hardware-Treiber von Dell für "Bring Your Own Vulnerable Driver"-Angriffe ausnutzt.

Um ihre ruchlose Malware-Kampagne durchzuführen, erhalten die Zielpersonen gefälschte Jobangebote per E-Mail. Sobald das Dokument geöffnet wird, wird eine Remote-Vorlage von einer fest kodierten Adresse heruntergeladen, gefolgt von Infektionen, die Malware-Loader, Dropper, benutzerdefinierte Backdoors und andere Arten von bösartigen Aktivitäten beinhalten.

ESET hat ein neues FudModule-Rootkit identifiziert, das eine BYOVD-Technik (Bring Your Own Vulnerable Driver) ausnutzt, um eine Schwachstelle in einem Dell-Hardwaretreiber auszunutzen. Bedrohungsakteure nutzen nun die Treiberschwachstellen aus, um Befehle mit Kernel-Rechten zu starten.

Ein BYOVD-Angriff (Bring Your Own Vulnerable Driver) findet statt, wenn ein Angreifer legitime signierte Treiber in Windows lädt, die ebenfalls bekannte Sicherheitslücken enthalten.

"Dies ist der erste jemals aufgezeichnete Missbrauch dieser Sicherheitslücke in freier Wildbahn. Die Angreifer nutzten dann ihren Schreibzugriff auf den Kernel-Speicher, um sieben Mechanismen zu deaktivieren, die das Windows-Betriebssystem zur Überwachung seiner Aktionen anbietet, wie z. B. Registrierung, Dateisystem, Prozesserstellung, Ereignisverfolgung usw., wodurch Sicherheitslösungen im Grunde genommen auf sehr generische und robuste Weise geblendet werden", so ESET.

Die Lazarus-Hacker haben es vor allem auf Nutzer in der EU abgesehen, darunter einen Luft- und Raumfahrtexperten in den Niederlanden und einen politischen Journalisten in Belgien. Das Ziel der Kampagne ist es, Cyberspionage zu betreiben und Daten zu stehlen.

Die Schwachstellen im Treiber können auch ausgenutzt werden, um Befehle mit Kernel-Privilegien zu starten. Außerdem verwendete die Gruppe ihre proprietäre HTTP(S)-Backdoor "BLINDINGCAN", einen Fernzugriffstrojaner (RAT), der von einem undokumentierten serverseitigen Dashboard unterstützt wird, das eine Parametervalidierung durchführt. Die Backdoor unterstützt einen umfangreichen Satz von 25 Befehlen und deckt Dateiaktionen, die Ausführung von Befehlen, die Konfiguration der C2-Kommunikation, die Aufnahme von Screenshots, die Erstellung und Beendigung von Prozessen sowie die Exfiltration von Systeminformationen ab.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung

Artikel Name

Lazarus-Hacker nutzen Dell-Treiber-Bug für BYOVD-Angriffe aus

Beschreibung

Forscher haben die Aktivitäten von Lazarus aufgedeckt, einer nordkoreanischen Hackergruppe, die eine Schwachstelle im Hardware-Treiber von Dell für BYOVD-Angriffe ausnutzt.

Autor

Obanla Opeyemi

Name des Herausgebers

Tuxcare

Logo des Herausgebers