Geçtiğimiz günlerde ESET uzmanları tarafından BYOVD (Bring Your Own Vulnerable Driver) yönteminin kullanıldığı bir saldırı gözlemlendi. Bu saldırıda, Kuzey Koreli bilgisayar korsanlığı grubu Lazarus, bir Dell donanım sürücüsünden yararlanan bir Windows rootkit yükledi.
Hollanda’da bir havacılık uzmanı ve Belçika’da bir siyasi gazeteci, 2021 sonbaharında ortaya çıkan bir zıpkınla kimlik avı kampanyasının hedefleri olarak doğrulandı.
Mevcut kampanyada, bilgisayar korsanlarının birincil amacı veri çalmak ve casusluk yapmaktı.
Dell Sürücü Hatasını Kullanan Hackerlar
Bu kampanyanın bir parçası olarak çok sayıda AB merkezli kullanıcı bilgisayar korsanları tarafından hedefleniyor. Hackerlar, bu sefer Amazon çalışanları gibi davranarak hedeflerine e-posta yoluyla sahte iş teklifleri gönderdi.
2022’de bir sosyal mühendislik hilesi olarak, bilgisayar korsanlarının sosyal mühendislik kampanyalarının bir parçası olarak sahte iş teklifleri kullanması muhtemeldir.
Bu belgelerin bulaşmaları genellikle aşağıdaki unsurların hedeflerinin sistemine uygulanmasını içerir:-
- Kötü amaçlı yazılım yükleyicileri
- Kötü amaçlı indiriciler
- Özel arka kapılar
Rapora göre, bu öğeler sabit kodlanmış bir adresten indiriliyor ve hedefin bilgisayarına bulaşmak için kullanılıyor. Bu kampanyada çok çeşitli araçlar kullanıldı, ancak en ilginçlerinden biri FudModule adlı yepyeni bir rootkit aracı.
Her şeyden önce, bu rootkit, bir BYOVD tekniğinden ilk kez yararlanılan bir BYOVD tekniği ile bir Dell donanım sürücüsündeki güvenlik açığından yararlanır.
Araçlar açısından, saldırganlar diğerlerinden öne çıkan bir kullanıcı modu modülü teslim etti. Bu modülün çekirdek belleği okumasını ve yazmasını sağlayan CVE-2021-21551 güvenlik açığı, meşru bir Dell sürücüsünün güvenliğini ihlal etti.
Saldırganlar, çekirdek belleğine erişim sağladıktan sonra yedi Windows işletim sistemi mekanizmasını devre dışı bıraktı. Tüm bu Windows mekanizmaları, eylemlerini izlemek için çeşitli araçlar sunar, örneğin: –
- Kayıt
- Dosya sistemi
- Süreç oluşturma
- Olay izleme
Kötü Amaçlı Araç Seti Kullanıldı
Aşağıda, bilgisayar korsanları tarafından kullanılan tüm kötü amaçlı yazılımlardan, araçlardan, damlalıklardan ve yükleyicilerden bahsettik:-
- KÖR CAN
- HTTP(S) indiricisi
- HTTP(S) yükleyici
- FudModule Rootkit
- Truva atlı lecui
- Truva atılmış Parmak Metni
- Truva atlı sslSniffer
Bu saldırı, CVE-2021-21551’e karşı savunmasız olduğu keşfedilen “dbutil_2_3.sys” adlı Dell donanım sürücüsündeki bir güvenlik açığından yararlandı. Bu, FudModule.dll tarafından bırakılan Dell’in meşru bir sürücüsüdür ve potansiyel olarak savunmasız bir sürücüdür.
Saldırganlar, CVE-2021-21551 güvenlik açığından yararlanarak ilk kez tüm güvenlik çözümlerini aynı anda kapatabildiler.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin