Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.
Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.
Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.
Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.
ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.
Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.
Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.
Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.
Sumber: BleepingComputer
Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.
Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.
ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.
Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.
Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.
Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.
Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.
