Les pirates de Lazarus exploitent le bogue du pilote Dell pour des attaques BYOVD
Les chercheurs d'ESET ont découvert les activités malveillantes de Lazarus, un groupe de pirates nord-coréens qui exploite une faille du pilote matériel Dell pour des attaques de type "Bring Your Own Vulnerable Driver".
Pour mener à bien leur campagne malveillante, les cibles reçoivent de fausses offres d'emploi par e-mail. Une fois le document ouvert, un modèle distant est téléchargé à partir d'une adresse codée en dur, suivi d'infections impliquant des chargeurs de logiciels malveillants, des droppers, des portes dérobées personnalisées et d'autres types d'activités malveillantes.
ESET a identifié un nouveau rootkit FudModule qui abuse d'une technique BYOVD (Bring Your Own Vulnerable Driver) pour exploiter une vulnérabilité dans un pilote matériel Dell. Les acteurs de la menace exploitent désormais les vulnérabilités du pilote pour lancer des commandes avec des privilèges au niveau du noyau.
Une attaque BYOVD (Bring Your Own Vulnerable Driver) se produit lorsqu'un attaquant charge dans Windows des pilotes légitimes signés qui contiennent également des vulnérabilités connues.
"Il s'agit du premier abus jamais enregistré de cette vulnérabilité dans la nature. Les attaquants ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes que le système d'exploitation Windows offre pour surveiller ses actions, comme le registre, le système de fichiers, la création de processus, le suivi des événements, etc., aveuglant ainsi les solutions de sécurité d'une manière très générique et robuste", a déclaré ESET.
Les pirates de Lazarus ciblent principalement des utilisateurs de l'UE, dont un expert en aérospatiale aux Pays-Bas et un journaliste politique en Belgique. L'objectif de cette campagne est de faire du cyberespionnage et de voler des données.
Les vulnérabilités du pilote peuvent également être exploitées pour lancer des commandes avec les privilèges du noyau. Le groupe a également utilisé sa porte dérobée HTTP(S) propriétaire 'BLINDINGCAN', un cheval de Troie d'accès à distance (RAT) soutenu par un tableau de bord côté serveur non documenté qui effectue la validation des paramètres. Le backdoor prend en charge un vaste ensemble de 25 commandes et couvre les actions sur les fichiers, l'exécution de commandes, la configuration de la communication C2, la capture d'écran, la création et l'arrêt de processus et l'exfiltration d'informations système.
Les sources de cet article comprennent un article de BleepingComputer.