Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Hackers de Lazarus aprovechan un fallo en los controladores de Dell para realizar ataques BYOVD
17 de octubre de 2022 - Equipo de Relaciones Públicas de TuxCare
Los investigadores de ESET han descubierto las actividades maliciosas de Lazarus, un grupo de hackers de Corea del Norte que explota un fallo de los controladores de hardware de Dell para realizar ataques Bring Your Own Vulnerable Driver.
Para llevar a cabo su nefasta campaña de malware, los objetivos reciben falsas ofertas de trabajo por correo electrónico. Una vez abierto el documento, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que incluyen cargadores de malware, droppers, puertas traseras personalizadas y otros tipos de actividades maliciosas.
ESET identificó un nuevo rootkit FudModule que abusa de una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell. Los actores de amenazas ahora están explotando las vulnerabilidades del controlador para lanzar comandos con privilegios a nivel del kernel.
Un ataque BYOVD (Bring Your Own Vulnerable Driver) se produce cuando un atacante carga en Windows controladores legítimos firmados que también contienen vulnerabilidades conocidas.
"Se trata del primer abuso de esta vulnerabilidad del que se tiene constancia. Los atacantes utilizaron su acceso de escritura en la memoria del kernel para desactivar siete mecanismos que el sistema operativo Windows ofrece para supervisar sus acciones, como el registro, el sistema de archivos, la creación de procesos, el rastreo de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta", dijo ESET.
Los hackers de Lazarus se dirigen principalmente a usuarios de la UE, entre ellos un experto aeroespacial de los Países Bajos y un periodista político de Bélgica. El objetivo de la campaña es realizar ciberespionaje y robar datos.
Las vulnerabilidades del controlador también pueden aprovecharse para lanzar comandos con privilegios de kernel, y el grupo también utilizó su backdoor HTTP(S) propietario 'BLINDINGCAN', un troyano de acceso remoto (RAT) soportado por un panel de control indocumentado del lado del servidor que lleva a cabo la validación de parámetros. El backdoor soporta un extenso conjunto de 25 comandos y cubre acciones sobre archivos, ejecución de comandos, configuración de comunicaciones C2, captura de pantallas, creación y terminación de procesos y exfiltración de información del sistema.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
