Hackers están aprovechando una vulnerabilidad en un controlador de Dell para implementar rootkits
Investigadores han descubierto al notorio grupo de hackers de Corea del Norte ‘Lazarus’ instalando un rootkit de Windows. Este rootkit abusa de un controlador de hardware de Dell en un ataque de Bring Your Own Vulnerable Driver (BYOVD).
La campaña de spear-phishing se desarrolló desde septiembre del 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.
Lazarus (también conocido como HIDDEN COBRA) ha estado activo desde al menos 2009. Es responsable de incidentes de alto perfil, como el ciberataque de Sony Pictures Entertainment y ciberatracos de decenas de millones de dólares en 2016. Por ejemplo, WannaCryptor (también conocido como WannaCry) en 2017 y una larga historia de ataques disruptivos contra infraestructura crítica y pública de Corea del Sur desde al menos 2011.
Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.
Abuso del controlador Dell para ataques BYOVD
Los objetivos de esta campaña en la Unión Europea recibieron ofertas de trabajo falsas por correo electrónico. En esta ocasión, las ofertas eran para Amazon. Las falsas ofertas de trabajo son un truco de ingeniería social típico y común empleado por los hackers en 2022.
Al abrir estos documentos, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que involucran cargadores de malware, instaladores, puertas traseras personalizadas y más.
ESET informó que entre las herramientas implementadas en esta campaña, la más interesante es un nuevo rootkit llamado FudModule. FudModule utiliza una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez.
“La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo”.
“Este es el primer abuso registrado de esta vulnerabilidad en el entorno”.
ESET en el informe sobre el ataque.
Luego, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente desactivando las soluciones de seguridad de una manera muy genérica y robusta. “
Un ataque Bring Your Own Vulnerable Driver (BYOVD) es cuando los atacantes cargan controladores legítimos y firmados en Windows que también contienen vulnerabilidades conocidas. Como los controladores del núcleo están firmados, Windows permite que el controlador se instale en el sistema operativo.
Sin embargo, los atacantes ahora pueden explotar las vulnerabilidades del controlador para ejecutar comandos con privilegios a nivel de kernel.
Vulnerabilidades
En este ataque, Lazarus estaba explotando la vulnerabilidad CVE-2021-21551 en un controlador de hardware de Dell (“dbutil_2_3.sys”). Esta corresponde a un conjunto de cinco vulnerabilidades que permanecieron explotables durante 12 años antes de que el proveedor de computadoras finalmente lanzara actualizaciones de seguridad para ellas.
En diciembre de 2021, los investigadores de Rapid7 advirtieron que este controlador en particular es un excelente candidato para los ataques BYOVD. Esto debido a las soluciones inadecuadas de Dell, lo que permite la ejecución del código del kernel incluso en versiones firmadas recientes.
Parece que Lazarus ya estaba al tanto de este potencial de abuso y explotó el controlador de Dell mucho antes de que los analistas de seguridad emitieran sus advertencias públicas.
“Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta.”
Informe de ESET.
Para aquellos interesados en el aspecto BYOVD del ataque de Lazarus, pueden profundizar en los detalles en este documento técnico de 15 páginas que ESET publicó por separado.
BLINDINGCAN y otras herramientas
ESET agregó que el grupo implementó su puerta trasera personalizada HTTP(S) ‘BLINDINGCAN’. Esta fue descubierta por primera vez por la inteligencia de Estados Unidos en agosto de 2020 y atribuida a Lazarus por Kaspersky en octubre de 2021
El troyano de acceso remoto (RAT) ‘BLINDINGCAN’ muestreado por ESET parece ejecutarse con un respaldo significativo de un panel del lado del servidor no documentado que realiza la validación de parámetros.
La puerta trasera admite un amplio conjunto de 25 comandos, que cubren acciones de archivos, ejecución de comandos, configuración de comunicación C2, captura de pantalla, creación y finalización de procesos y exfiltración de información del sistema.
Otras herramientas implementadas en la campaña presentada son el Rootkit FudModule. FudModule es un cargador HTTP(S) utilizado para la filtración segura de datos y varias aplicaciones de código abierto troyanizadas como wolfSSL y FingerText.
Troyanizar herramientas de código abierto es algo que Lazarus continúa haciendo. Esto porque un informe de Microsoft de ayer menciona que esta técnica se usó con PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording.
Conclusión
En este ataque, así como en muchos otros atribuidos a Lazarus, hemos observado que muchas herramientas se distribuyeron incluso en un único punto final objetivo en una red de interés. Sin duda, el equipo detrás del ataque es bastante grande, organizado sistemáticamente y bien preparado.
Por primera vez en el entorno, los atacantes pudieron aprovechar CVE-2021-21551 para desactivar el monitoreo de todas las soluciones de seguridad. No solo se hizo en el espacio del kernel, sino también de una manera robusta, utilizando una serie de elementos internos de Windows poco conocidos o sin documentar. Sin duda, esto requirió habilidades profundas de investigación, desarrollo y prueba.
Desde el punto de vista defensivo, parece más fácil limitar las posibilidades de acceso inicial que bloquear el sólido conjunto de herramientas que se instalaría después de que determinados atacantes se afianzaran en el sistema.
Como en muchos casos en el pasado, un empleado que cae presa de la tentación de los atacantes fue el punto inicial de falla aquí. En redes sensibles, las empresas deben insistir en que los empleados no persigan sus agendas personales, como la búsqueda de empleo, en dispositivos que pertenecen a la infraestructura de su empresa.
