Kuzey Kore destekli Lazarus Group’un, devlet destekli rakip tarafından benimsenen yeni taktikleri vurgulayarak, bir Dell üretici yazılımı sürücüsündeki bir açıktan yararlanarak bir Windows rootkit dağıttığı gözlemlendi.
2021 sonbaharında gerçekleştirilen Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı, tehdit aktörünün havacılık ve savunma sanayilerine yönelik Operasyon In(ter)ception adlı casusluk odaklı etkinliğinin bir başka çeşididir.
ESET araştırmacısı Peter Kálnai, “Kampanya, Amazon temalı kötü niyetli belgeler içeren hedef odaklı kimlik avı e-postalarıyla başladı ve Hollanda’daki bir havacılık şirketinin çalışanını ve Belçika’daki bir siyasi gazeteciyi hedef aldı.” Dedi.
Cazibe belgelerinin açılmasıyla ortaya çıkan saldırı zincirleri, Google’ın Mandiant ve Microsoft’un son raporlarını doğrulayan, açık kaynak projelerinin truva atına dönüştürülmüş sürümleri olan kötü niyetli damlalıkların dağıtımına yol açtı.
ESET, HTTPS tabanlı indiricilere ve yükleyicilere ek olarak, wolfSSL kitaplığının bir bileşeni olan FingerText ve sslSniffer’ın silahlaştırılmış sürümlerini Lazarus’un bıraktığına dair kanıtları ortaya çıkardığını söyledi.
İzinsiz girişler aynı zamanda grubun, AIRDRY ve ZetaNile olarak da bilinen BLINDINGCAN olarak adlandırılan ve bir operatörün güvenliği ihlal edilmiş sistemleri kontrol etmek ve keşfetmek için kullanabileceği arka kapı seçiminin yolunu açtı.
Ancak 2021 saldırılarında dikkat çeken şey, çekirdek belleği okuma ve yazma yeteneği kazanmak için bir Dell sürücü kusurundan yararlanan bir rootkit modülüydü. CVE-2021-21551 olarak izlenen sorun, dbutil_2_3.sys içindeki bir dizi kritik ayrıcalık yükseltme güvenlik açığıyla ilgilidir.
“[This] CVE‑2021‑21551 güvenlik açığının kaydedilen ilk kötüye kullanımını temsil ediyor” diyen Kálnai, “Bu araç, güvenlik açığıyla birlikte, güvenliği ihlal edilmiş makinelerdeki tüm güvenlik çözümlerinin izlenmesini devre dışı bırakır.”
ESET’e göre, FudModule adlı daha önce belgelenmemiş kötü amaçlı yazılım, hedeflerine “daha önce bilinmeyen veya yalnızca uzman güvenlik araştırmacıları ve (anti-)hile geliştiricilerinin aşina olduğu” birden çok yöntemle ulaşıyor.
“Saldırganlar daha sonra Windows işletim sisteminin kayıt defteri, dosya sistemi, süreç oluşturma, olay izleme vb. gibi eylemlerini izlemek için sunduğu yedi mekanizmayı devre dışı bırakmak için çekirdek bellek yazma erişimini kullandılar ve temelde güvenlik çözümlerini çok genel ve sağlam bir şekilde kör ettiler ,” dedi Kalnai. “Kuşkusuz bu, derin araştırma, geliştirme ve test etme becerileri gerektiriyordu.”
Bu, tehdit aktörünün rootkit saldırılarını başlatmak için savunmasız bir sürücü kullanmaya ilk kez başvurması değil. Daha geçen ay, AhnLab’ın ASEC’si, makinelerde kurulu güvenlik yazılımını devre dışı bırakmak için “ene.sys” olarak bilinen meşru bir sürücünün istismarını detaylandırdı.
Bulgular, Lazarus Grubu’nun, hem kolluk kuvvetleri hem de daha geniş araştırma topluluğu tarafından kollektifin faaliyetlerinin yoğun bir şekilde incelenmesine rağmen, yıllar içinde gerektiği gibi yenilik yapma ve taktiklerini değiştirme konusundaki kararlılığının ve yeteneğinin bir göstergesidir.
Şirket, “Lazarus kampanyalarının uygulanmasındaki çeşitlilik, sayı ve eksantriklik, bu grubu tanımlıyor ve aynı zamanda siber suç faaliyetlerinin üç ayağını da yerine getiriyor: siber casusluk, siber sabotaj ve finansal kazanç arayışı.”