Posté le octobre 3, 2022 à 11:30

LE GROUPE DE HACKERS LAZARUS UTILISE UN ROOTKIT WINDOWS POUR EXPLOITER UN PILOTE DELL

Le groupe Lazarus, l’un des plus importants groupes de hackers de Corée du Nord, a installé un rootkit Windows. Le rootkit Windows exploite un pilote matériel Dell au moyen d’une attaque appelée « Bring Your Own Vulnerable Driver ».

Le groupe de hackers Lazarus installe un rootkit Windows pour exploiter un pilote Dell

La campagne de spearphishing menée par le groupe de hackers a été détectée pour la première fois à l’automne de l’année dernière. Les cibles confirmées de la campagne comprennent un expert en aérospatiale basé aux Pays-Bas et un journaliste politique basé en Belgique.

Un rapport d’ESET indique que l’objectif de la campagne de phishing était l’espionnage et le vol de données. Certaines des cibles de la campagne étaient également basées dans l’UE. Ces cibles ont été attirées par de fausses offres d’emploi envoyées par e-mail.

Les offres d’emploi en question étaient configurées de manière à ressembler à celles d’Amazon. Attirer les gens avec de telles fausses offres d’emploi dans le cadre d’une campagne de phishing est une stratégie d’ingénierie sociale employée par les hackers cette année.

Les cibles qui ouvrent les documents contenant les offres d’emploi téléchargent un modèle distant à partir d’une adresse codée en dur. Cette opération est suivie d’infections sur l’appareil de la victime par des chargeurs de logiciels malveillants, des droppers et des portes dérobées personnalisées.

Le rapport d’ESET précise également que l’un des outils les plus intéressants déployés pendant cette campagne est le Rootkit FudModule. Ce Rootkit utilise la stratégie BYOVD (Bring Your Own Vulnerable Driver) pour exploiter un bug dans un pilote matériel Dell.

ESET a par ailleurs déclaré qu’un module en mode utilisateur est l’un des outils les plus remarquables utilisés par les hackers. Le module pouvait lire et écrire dans la mémoire du noyau en raison de la vulnérabilité CVE-2-21-21551 au sein du pilote Dell légitime. ESET a ajouté qu’il s’agissait du premier abus enregistré de cette vulnérabilité par des acteurs de la menace.

« Les attaquants ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes que le système d’exploitation Windows offre pour surveiller ses actions, comme le registre, le système de fichiers, la création de processus, le suivi d’événements, etc., aveuglant ainsi les solutions de sécurité d’une manière très générique et robuste », ajoute le rapport.

Une attaque BYOVD se produit lorsque l’attaquant déploie des pilotes légitimes signés dans Windows. Ces pilotes contiennent également des vulnérabilités connues. Une fois les pilotes du noyau signés, Windows autorise l’installation du pilote dans le système d’exploitation.

Il est alors possible pour les acteurs de la menace d’exploiter les vulnérabilités du pilote pour lancer des commandes en utilisant les privilèges du noyau.

Dans la récente attaque, Lazarus a exploité la vulnérabilité CVE-2021-21551 dans le pilote matériel de Dell. Le pilote est conforme à cinq failles qui ont pu être exploitées pendant 12 ans avant que Dell ne publie des mises à jour de sécurité.

En décembre de l’année dernière, les chercheurs de Rapid 7 ont mis en garde contre ce pilote. Les chercheurs ont déclaré que le pilote a attiré des attaques BYOVD en raison de l’incapacité de Dell à déployer les correctifs appropriés. Cela a permis l’exécution du code du noyau sur les versions récemment signées.

Il semble maintenant que le groupe Lazarus était conscient de la possibilité d’exploiter cette vulnérabilité. Le groupe a exploité le pilote Dell avant que les chercheurs en sécurité ne puissent émettre des avertissements publics à ce sujet.

ESET a également déclaré que le groupe a utilisé son accès en écriture à la mémoire du noyau pour désactiver sept mécanismes offerts par le système d’exploitation Windows pour surveiller ses actions, comme dans le registre, le système de fichiers, la création de processus et le suivi des événements. En outre, les attaquants ont rendu aveugles les solutions de sécurité d’une manière générique mais robuste.

Le groupe Lazarus a utilisé la porte dérobée HTTP(S) BLINDINGCAN

Le groupe ESET a également ajouté que le groupe a déployé « BLINDINGCAN », une porte dérobée HTTP(S) personnalisée de marque déposée. Ce backdoor a été détectée pour la première fois par les services de renseignement Américains en août 2020. En octobre 2021, Kaspersky a associé le groupe Lazarus à cette porte dérobée.

BLINDINGCAN est un cheval de Troie d’accès à distance (RAT). Après avoir été échantillonné par ESET, il a semblé bénéficier d’un soutien important de la part d’un tableau de bord côté serveur non documenté et effectuant une validation des paramètres.

Le backdoor prend également en charge un large éventail de 25 commandes. Ces commandes comprennent des actions sur des fichiers, l’exécution de commandes, la configuration de communications C2, la création et la fin de processus, des captures d’écran et l’exfiltration d’informations système.

Les autres outils utilisés par les acteurs de la menace au cours de la campagne comprennent le Rootkit FudModule, comme indiqué précédemment. Ce Rootkit est un téléchargeur HTTP(S) qui peut être utilisé pour faciliter l’exfiltration de données. Les attaquants ont également déployé plusieurs applications open-source trojanisées telles que wolfSSL et FingerText. Le groupe Lazarus a continué à trojaniser des outils open-source. Un rapport publié hier par Microsoft mentionne cette technique. Elle a été utilisée aux côtés d’autres outils tels que Sumatra PDF Reader, PuTTY, KiTTY, TightVNC et l’installateur du logiciel muPDF/Subliminal Recording.