라자루스 해커, BYOVD 공격에 Dell 드라이버 버그 악용

ESET 연구원들이 Dell 하드웨어 드라이버 결함을 악용하여 취약한 드라이버를 직접 가져와 공격하는 북한 해킹 그룹인 Lazarus의 악의적인 활동을 발견했습니다.

악의적인 멀웨어 캠페인을 수행하기 위해 공격자는 이메일을 통해 가짜 구인 제안을 받습니다. 문서를 열면 하드코딩된 주소에서 원격 템플릿이 다운로드되고 멀웨어 로더, 드로퍼, 사용자 지정 백도어 및 기타 유형의 악성 활동이 포함된 감염이 이어집니다.

ESET은 BYOVD(Bring Your Own Vulnerable Driver) 기법을 악용하여 Dell 하드웨어 드라이버의 취약점을 악용하는 새로운 FudModule 루트킷을 발견했습니다. 위협 행위자들은 이제 드라이버 취약점을 악용하여 Kernel 수준 권한으로 명령을 실행하고 있습니다.

BYOVD(Bring Your Own Vulnerable Driver) 공격은 공격자가 알려진 취약점이 포함된 합법적으로 서명된 드라이버를 Windows에 로드할 때 발생합니다.

"야생에서 이 취약점을 악용한 사례는 이번이 처음입니다. 공격자들은 Kernel 메모리 쓰기 권한을 사용하여 레지스트리, 파일 시스템, 프로세스 생성, 이벤트 추적 등 Windows 운영 체제가 제공하는 7가지 메커니즘을 비활성화하여 기본적으로 매우 일반적이고 강력한 방식으로 보안 솔루션을 무력화했습니다."라고 ESET은 설명했습니다.

라자루스 해커들은 주로 네덜란드의 항공우주 전문가와 벨기에의 정치 저널리스트를 포함한 유럽연합의 사용자들을 표적으로 삼고 있습니다. 이 캠페인의 목적은 사이버 스파이 활동을 수행하고 데이터를 훔치는 것입니다.

드라이버의 취약점은 Kernel 권한으로 명령을 실행하는 데도 악용될 수 있으며, 이 그룹은 매개변수 유효성 검사를 수행하는 문서화되지 않은 서버 측 대시보드에서 지원하는 원격 액세스 트로이 목마(RAT)인 독점 HTTP(S) 백도어 '블라인딩캔(BLINDINGCAN)'도 사용했습니다. 이 백도어는 25개의 광범위한 명령 세트를 지원하며 파일 작업, 명령 실행, C2 통신 구성, 스크린샷 캡처, 프로세스 생성 및 종료, 시스템 정보 유출을 다룹니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약

기사 이름

라자루스 해커, BYOVD 공격에 Dell 드라이버 버그 악용

설명

연구원들은 Dell 하드웨어 드라이버의 결함을 악용하여 BYOVD 공격을 감행하는 북한 해킹 그룹인 라자루스의 활동을 밝혀냈습니다.

작성자

오반라 오페예미

게시자 이름

턱시도 케어

게시자 로고