Peretas Mengeksploitasi Kerentanan Driver Dell untuk Menyebarkan Rootkit di Komputer Target

idNSA.id - Grup Lazarus yang didukung Korea Utara telah diamati menyebarkan rootkit Windows dengan mengambil keuntungan dari eksploit dalam driver firmware Dell, menyoroti taktik baru yang diadopsi oleh musuh yang disponsori negara.

Serangan Bring Your Own Vulnerable Driver ( BYOVD ), yang terjadi pada musim gugur 2021, adalah varian lain dari aktivitas berorientasi spionase pelaku yang disebut Operation In(ter)ception yang diarahkan terhadap industri kedirgantaraan dan pertahanan.

"Kampanye dimulai dengan email spear-phishing yang berisi dokumen berbahaya bertema Amazon dan menargetkan seorang karyawan perusahaan kedirgantaraan di Belanda, dan seorang jurnalis politik di Belgia," kata peneliti ESET Peter Kálnai.

Rantai serangan terbuka pada pembukaan dokumen iming-iming, yang mengarah ke distribusi dropper berbahaya yang merupakan versi trojan dari proyek open source, menguatkan laporan terbaru dari Mandiant Google dan Microsoft.

ESET mengatakan telah menemukan bukti Lazarus menjatuhkan versi FingerText dan sslSniffer yang dipersenjatai, sebuah komponen dari library wolfSSL, selain pengunduh dan pengunggah berbasis HTTPS.

Intrusi juga membuka jalan bagi backdoor pilihan grup yang dijuluki BLINDINGCAN – juga dikenal sebagai AIRDRY dan ZetaNile – yang dapat digunakan operator untuk mengontrol dan menjelajahi sistem yang disusupi.

Tapi yang penting dari serangan 2021 adalah modul rootkit yang mengeksploitasi kelemahan driver Dell untuk mendapatkan kemampuan membaca dan menulis memori kernel. Masalah, dilacak sebagai CVE-2021-21551, berkaitan dengan serangkaian kerentanan eskalasi hak istimewa kritis di dbutil_2_3.sys.

"[Ini] mewakili penyalahgunaan pertama yang tercatat dari kerentanan CVE‑2021‑21551," catat Kálnai. " Alat ini, dalam kombinasi dengan kerentanan, menonaktifkan pemantauan semua solusi keamanan pada mesin yang disusupi."

Dinamakan FudModule, malware yang sebelumnya tidak berdokumen mencapai tujuannya melalui berbagai metode "baik yang tidak diketahui sebelumnya atau hanya dikenal oleh peneliti keamanan khusus dan pengembang (anti-)cheat," menurut ESET.

"Para penyerang kemudian menggunakan akses write kernel memory mereka untuk menonaktifkan tujuh mekanisme yang ditawarkan sistem operasi Windows untuk memantau tindakannya, seperti registri, sistem file, pembuatan proses, pelacakan peristiwa, dll., pada dasarnya membutakan solusi keamanan dengan cara yang sangat umum dan kuat. ," kata Kalnai. "Tidak diragukan lagi ini membutuhkan penelitian mendalam, pengembangan, dan keterampilan pengujian."

Ini bukan pertama kalinya pelaku menggunakan driver yang rentan untuk memasang serangan rootkitnya. Bulan lalu, ASEC AhnLab merinci eksploitasi driver yang sah yang dikenal sebagai "ene.sys" untuk melucuti perangkat lunak keamanan yang diinstal di mesin.

Temuan ini menunjukkan keuletan dan kemampuan Grup Lazarus untuk berinovasi dan mengubah taktiknya sesuai kebutuhan selama bertahun-tahun meskipun ada pengawasan ketat terhadap aktivitas kolektif dari penegak hukum dan komunitas penelitian yang lebih luas.

“Keragaman, jumlah, dan eksentrisitas dalam pelaksanaan kampanye Lazarus menentukan kelompok ini, serta melakukan ketiga pilar kegiatan kejahatan cyber: spionase cyber, sabotase cyber, dan pengejaran keuntungan finansial,” kata perusahaan itu.