Il gruppo Lazarus continua a distribuire malware attraverso false offerte di lavoro, come già avvenuto in diverse occasioni. Stavolta però è stata utilizzato un attacco BYOVD (Bring Your Own Vulnerable Driver) che sfrutta una vecchia vulnerabilità presente nei driver Dell. L’obiettivo principale della campagna è sempre il furto di dati sensibili.
Bug usato per installare un rootkit
Gli esperti di ESET hanno analizzato le tattiche usate dai cybercriminali nordcoreani durante gli attacchi effettuati contro un giornalista in Belgio e un dipendente di una azienda aerospaziale in Olanda. L’accesso iniziale è avvenuto tramite l’invio di email (spear phishing) con un file Word allegato (la presunta offerta di lavoro). L’infezione inizia quando l’utente apre il documento. Sul computer vengono quindi installati vari malware: dropper, loader, backdoor, uploader e downloader.
La backdoor è un RAT (Remote Access Trojan), noto come BLINDINGCAN, che raccoglie una serie di informazioni e invia i dati al server remoto. Un componente, denominato FudModule, è un rootkit che utilizza la tecnica BYOVD (Bring Your Own Vulnerable Driver) per sfruttare la vulnerabilità CVE-2021-21551 (risolta dal produttore dopo 12 anni) presente nel driver Dell Dbutil_2_3.sys
.
Il modulo può leggere e scrivere nella memoria del kernel e disattivare sette meccanismi di monitoraggio del sistema operativo. L’attacco BYOVD è difficile da rilevare perché Lazarus utilizza un driver legittimo con firma digitale che Windows e le soluzioni di sicurezza non considerano un pericolo. Ovviamente gli utenti devono installare la versione aggiornata del driver.