Il famigerato gruppo di hacker nordcoreano Lazarus ha iniziato a sfruttare una vulnerabilità nota in un driver OEM sviluppato da Dell per eludere il rilevamento da parte delle soluzioni di sicurezza. Questo è un ottimo esempio del perché è importante mantenere sempre aggiornato il software dei produttori PC di terze parti (che viene spesso trascurato) e aggiungere versioni vulnerabili alle blocklist.

“Lo strumento fornito dagli aggressori è un modulo user-mode che ha acquisito la capacità di leggere e scrivere memoria del kernel a causa della vulnerabilità CVE-2021-21551 in un driver Dell legittimo”, hanno scritto i ricercatori di sicurezza della società antivirus ESET in un recente report. “Questo è il primo abuso mai registrato di questa vulnerabilità in the wild. Gli aggressori hanno quindi utilizzato l’accesso in scrittura alla memoria del kernel per disabilitare sette meccanismi offerti dal sistema operativo Windows per monitorare le sue azioni, come registro, file system, creazione di processi e tracciamento degli eventi, accecando fondamentalmente le soluzioni di sicurezza”.

Offerte di lavoro false come punto di ingresso

Nei nuovi attacchi che ESET ha rilevato e attribuito a Lazarus, gli hacker hanno colpito il dipendente di una società aerospaziale nei Paesi Bassi e il dipendente di un’organizzazione mediatica in Belgio. Il primo è stato preso di mira tramite LinkedIn con un messaggio che conteneva un documento chiamato Amzon_Netherlands.docx. Mentre i ricercatori non sono stati in grado di recuperare il contenuto del documento, credono che fosse probabilmente una falsa offerta di lavoro relativa al programma spaziale di Amazon, Project Kuiper. La seconda vittima è stata presa di mira via e-mail con un documento chiamato AWS_EMEA_Legal_.docx, che si ipotizza fosse un’offerta di lavoro relativa a una posizione legale presso Amazon Web Services.

Queste esche sarebbero coerenti con le precedenti campagne di attacco attribuite a Lazarus nel 2019 e nel 2020 (Operation In(ter)ception e Operation DreamJob), che hanno preso di mira i dipendenti di industrie aerospaziali e della difesa. I documenti incriminati hanno utilizzato la tecnica del template remoto per recuperare e caricare codice dannoso da un server esterno e quindi distribuire un malware dropper per avviare il payload a più fasi.

Applicazioni “trojanizzate” e DLL hijacking

In linea con le tecniche e le procedure di Lazarus viste in passato, gli aggressori hanno sfruttato applicazioni legittime che hanno una debolezza nel percorso di ricerca DLL, il che significa che cercano una DLL specifica e danno la priorità alle directory scrivibili dall’utente rispetto alle cartelle della libreria di sistema. In questo modo gli aggressori hanno consegnato queste applicazioni legittime insieme a una DLL dannosa, che è stata poi caricata in memoria per eludere il rilevamento da parte dei programmi di sicurezza.

In un attacco, gli hacker hanno utilizzato una DLL malevola insieme a colorcpl.exe (Color Control Panel), un’applicazione di sistema legittima, e hanno inserito il tutto in una cartella chiamata C:\ProgramData\PTC\ (questa applicazione si trova normalmente in %WINDOWS%\System32\). In un altro caso hanno usato credui.dll insieme a WFS.exe, un plug-in per l’applicazione di modifica del testo Notepad ++. Un altro esempio è cryptsp.dll insieme a SMSvcHost.exe, che fa parte della libreria di interfaccia utente per lo sviluppo di applicazioni C++.

lazarus

Questi malware dropper sono stati eseguiti con un parametro da riga di comando che specificava una chiave di decrittografia per decriptare il loro payload, che fungeva da seconda fase dell’attacco. Gli aggressori hanno anche utilizzato applicazioni trojanizzate, di solito open source, tra cui libpcre, SQLite e SSLsniffer.

Uno dei payload era una backdoor HTTPS precedentemente associata agli attacchi Lazarus e soprannominata BLINDINGCAN in precedenti rapporti della US Cybersecurity and Infrastructure Security Agency (CISA). Uno dei dropper è stato firmato digitalmente con un certificato legittimo rilasciato a una società statunitense chiamata “A” MEDICAL OFFICE, PLLC, ed è stato visto utilizzato nelle campagne Lazarus in passato. Gli aggressori hanno anche distribuito un downloader HTTPS e un uploader HTTP utilizzati per l’esfiltrazione dei dati e anche questi sono stati consegnati tramite applicazioni trojanizzate.

Il pericolo della tecnica BRING-YOUR-OWN-VULNERABLE-DRIVER (BYOVD)

Gli aggressori hanno anche distribuito un modulo rootkit soprannominato FudModule il cui processo principale è disabilitare varie funzionalità di monitoraggio del sistema su cui si basano i prodotti di sicurezza. A tale scopo, il modulo ha distribuito un driver legittimo e con firma digitale chiamato DBUtil_2_3.sys. Questo driver è stato sviluppato da Dell ed è utilizzato da molte delle sue applicazioni software. L’anno scorso Dell ha corretto una vulnerabilità di controllo degli accessi (CVE-2021-21551) nel driver che potrebbe consentire l’escalation dei privilegi.

Anche se il sistema attaccato non ha questo driver vulnerabile presente, il malware tenta di installarlo da solo rilasciandolo nella cartella C:\WINDOWS\System32\drivers\ con un nome scelto casualmente tra circlassmgr.sys, dmvscmgr.sys, hidirmgr.sys, isapnpmgr.sys, mspqmmgr.sys e umpassmgr.sys. Questa operazione richiede già che gli aggressori dispongano di privilegi amministrativi sul sistema, quindi il driver non viene utilizzato per l’escalation dei privilegi, ma piuttosto per abusare della sua funzionalità e interagire con il kernel in un modo tale da renderlo difficile da rilevare.

Questo modulo utilizza il driver di Dell per disabilitare sette funzioni di monitoraggio del sistema. Mentre alcune di queste tecniche sono state documentate in precedenza da ricercatori di sicurezza, finora non erano mai state viste utilizzate in malware in the wild. Ciò potrebbe costituire un pericoloso precedente per altri sviluppatori di malware, che in questo modo potrebbero neutralizzare le soluzioni di sicurezza e monitoraggio che si basano su queste funzioni del kernel. Come in molti casi in passato, un dipendente che cadeva preda dell’esca degli aggressori si è rivelato il punto di entrata dell’attacco. Ecco perché, nelle reti sensibili, le aziende dovrebbero insistere sul fatto che i dipendenti non perseguano affari personali (come nel caso della ricerca di un lavoro) su dispositivi appartenenti all’infrastruttura della loro azienda.