Lazarus использует дырявый драйвер Dell для установки Windows-руткита

Lazarus использует дырявый драйвер Dell для установки Windows-руткита

Lazarus использует дырявый драйвер Dell для установки Windows-руткита

Знаменитая киберпреступная группировка Lazarus использовала интересный способ установки Windows-руткита в своих атаках. Северокорейские хакеры взяли на вооружение драйвер Dell (dbutil_2_3.sys) для доставки опасного вредоноса.

Всё начинается с целевого фишинга: соответствующие письма рассылаются интересующим Lazarus целям. В этой кампании злоумышленники атаковали преимущественно политических журналистов из Бельгии и экспертов в аэрокосмической области из Нидерландов.

По словам специалистов ESET, у группировки были две основные задачи — кибершпионаж и кража важных данных.

В качестве приманки Lazarus задействовала предложения работы (стандартный фишинговый приём). К письмам был прикреплён документ, который при открытии загружал шаблон с адреса, жёстко заданного в коде. Далее в дело вступали вредоносные загрузчики, дропперы, кастомные бэкдоры и т. п.

В ESET отметили, что наиболее интересным инструментом Lazarus в этих кампаниях стал руткит “FudModule“. Он использовал технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер) для эксплуатации бреши в драйвере Dell.

«Этот инструмент представляет собой модуль, работающий на уровне пользователя. Однако у него есть возможность читать и записывать в память ядра благодаря уязвимости CVE-2021-21551 в легитимном драйвере от Dell», — говорится в отчёте ESET.

«Стоит отметить, что это первая задокументированная эксплуатация этой бреши в реальных кибератаках. Злоумышленники затем используют возможность записи в память ядра для отключения ряда функциональных возможностей Windows, помогающих мониторить изменения в ОС».

Смысл вектора BYOVD заключается в загрузке вполне безобидного драйвера (часто подписанного и официального), но при этом содержащего известные уязвимости. Поскольку такие драйверы имеют подпись, ОС позволяет их установить.

После инсталляции атакующие могут задействовать соответствующий эксплойт — выполнить код или повысить права в системе. В этом случае Lazarus использовали CVE-2021-21551 в dbutil_2_3.sys для выхода на уровень ядра.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

64% россиян, зарабатывающих на хобби, столкнулись со взломом аккаунта

Зарабатывать на своём увлечении — мечта многих. Но вместе с ростом популярности и доходов повышается и интерес к вам со стороны злоумышленников. Об этом говорится в новом опросе «Лаборатории Касперского».

По данным исследования, 64% россиян, которые превратили своё хобби в источник заработка, сталкивались с попытками взлома аккаунтов в соцсетях. Среди тех, кто занимается увлечением просто «для души», таких 43%.

Ситуация аналогична и по другим каналам:

  • попытки взлома электронной почты — у 55% предпринимателей против 31% любителей;
  • атаки на мессенджеры — у 51% против 28%.

Эксперты объясняют: как только человек начинает активно продвигать себя — создаёт тематические страницы, набирает подписчиков, принимает заказы — он становится заметной целью для киберпреступников. А взлом аккаунта может обернуться и финансовыми потерями, и репутационными проблемами.

«Социальные сети — один из главных инструментов для продвижения своих увлечений и бизнеса, но именно они чаще всего становятся точкой атаки», — отмечает Алексей Киселёв, руководитель отдела по работе с малым и средним бизнесом в «Лаборатории Касперского».

Он советует защищать свои цифровые профили:

  • использовать сложные уникальные пароли и регулярно их менять,
  • включить двухфакторную аутентификацию,
  • установить антивирус,
  • делать резервные копии данных и ограничивать доступ к важным ресурсам.

По мере роста бизнеса, добавляет эксперт, стоит выстраивать полноценную систему кибербезопасности — так же, как строится маркетинг или бухгалтерия. Ведь чем успешнее проект, тем больше желающих на нём «заработать» нечестным способом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru