🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Ngọk Yêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý rừng phòng hộ Núi Cậu Dầu Tiếng đã đăng ký tín nhiệm. 🔥                    🔥 Quỹ Bảo vệ và Phát triển rừng tỉnh Điện Biên đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Tin tặc đang khai thác lỗ hổng trong Driver của Dell để triển khai rootkit trên máy mục tiêu

06/10/2022

Lazarus, nhóm tin tặc do Triều Tiên hậu thuẫn, hoạt động với 3 mục đích chính là gián điệp mạng, phá hoại mạng và tài chính, đã bị phát hiện triển khai một rootkit Windows bằng cách khai thác lỗ hổng trong firmware driver của Dell.

Cuộc tấn công diễn ra vào năm 2021, được gọi là Bring Your Own Vulnerable Driver (BYOVD), là một biến thể của các hoạt động gián điệp có tên là Operation In(ter)ception nhằm vào các ngành công nghiệp quốc phòng và hàng không vũ trụ.

Nhà nghiên cứu Peter Kálnai của ESET cho biết: "Chiến dịch bắt đầu với các email lừa đảo chứa các tệp độc hại và nhắm mục tiêu vào một nhân viên của một công ty hàng không vũ trụ ở Hà Lan và một nhà báo chính trị ở Bỉ".

Chuỗi tấn công được kích hoạt khi nạn nhân mở các tệp đính kèm, dẫn đến việc phát tán các phần mềm độc hại, điều này đã chứng thực cho các báo cáo gần đây từ Mandiant của Google và Microsoft.

ESET đã phát hiện ra bằng chứng về việc Lazarus phát tán các biến thể của FingerText và sslSniffer, một thành phần của thư viện wolfSSL, ngoài các công cụ tải xuống và tải lên dựa trên HTTPS.

Ngoài ra, một backdoor có tên BLINDINGCAN (hay AIRDRY/ZetaNile) cũng đã được phát hiện trong cuộc xâm nhập, có thể cho phép kẻ tấn công kiểm soát và thăm dò các hệ thống bị xâm phạm.

Điều đáng chú ý về các cuộc tấn công năm 2021 là một mô-đun rootkit đã khai thác một lỗ hổng trong driver của Dell để giành được quyền đọc và ghi vào bộ nhớ kernel. Lỗ hổng có định danh CVE-2021-21551, liên quan đến một nhóm các lỗ hổng leo thang đặc quyền nghiêm trọng trong dbutil_2_3.sys.

Kálnai cho biết "đây là cuộc tấn công lạm dụng CVE-2021-21551 đầu tiên được ghi nhận". "Công cụ này kết hợp với lỗ hổng bảo mật sẽ cho phép kẻ tấn công vượt qua các giám sát của tất cả giải pháp bảo mật trên các máy bị xâm nhập."

“Được đặt tên là FudModule, rootkit này đạt được các mục tiêu của nó thông qua nhiều phương pháp "chưa từng hoặc ít được biết đến trước đây”.

"Sau khi khai thác thành công, kẻ tấn công sử dụng quyền truy cập ghi vào bộ nhớ kernel để vô hiệu hóa bảy cơ chế giám sát mà hệ điều hành Windows cung cấp, như registry, file system, process creation (tạo tiến trình), event tracing (theo dõi sự kiện),... khiến các giải pháp bảo mật không còn hiệu quả".

Những phát hiện này cho thấy sự đổi mới và thay đổi chiến thuật của Lazarus trong nhiều năm gần đây bất chấp sự giám sát gắt gao từ các cơ quan thực thi pháp luật và cộng đồng nghiên cứu bảo mật.

Đây không phải lần đầu tiên tin tặc lợi dụng driver chứa lỗ hổng để thực hiện các cuộc tấn công rootkit. Mới tháng trước, ASEC của AhnLab đã tiết lộ chi tiết việc khai thác một driver hợp pháp được gọi là "ene.sys" để vô hiệu hóa phần mềm bảo mật trên máy.

Người dùng nên thường xuyên kiểm tra, cập nhật driver và phần mềm đang sử dụng lên phiên bản mới nhất để giảm thiểu các nguy cơ tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop