Parece que los desarrolladores y artistas de blockchain no son los únicos objetivos de Lazarus Group con ofertas de trabajo falsas.
Los expertos aeroespaciales y los periodistas políticos en Europa también han sido atacados recientemente con la misma forma de ataques de ingeniería social, con el mismo objetivo: espionaje corporativo y exfiltración de datos de negocios. (se abre en una pestaña nueva) dispositivos.
Sin embargo, lo que hace que esta campaña sea única es el hecho de que los objetivos estaban infectados con controladores legítimos.
Deshabilitar los mecanismos de monitoreo
Los investigadores de seguridad cibernética de ESET han visto recientemente a Lazarus Group, un conocido actor de amenazas patrocinado por el estado de Corea del Norte, que se acerca a las personas mencionadas anteriormente con ofertas de trabajo falsas de Amazon.
Aquellos que aceptaron la oferta y descargaron archivos PDF de descripción de trabajo falsos, tenían instalado un controlador Dell antiguo y vulnerable. Eso abrió las puertas para que los actores de amenazas comprometieran los puntos finales y extrajeran cualquier dato que estuvieran buscando.
“La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo”, dijo ESET. «Este es el primer abuso registrado de esta vulnerabilidad en la naturaleza».
Esto le dio a Lazarus la capacidad de deshabilitar algunos de los mecanismos de monitoreo de Windows, lo que le permitió modificar el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos y similares, dijo además ESET. Esto «básicamente cegó las soluciones de seguridad de una manera muy genérica y robusta».
CVE-2021-21551 es una vulnerabilidad que abarca cinco fallas diferentes que pasaron desapercibidas durante 12 años, antes de que Dell finalmente las arreglara, recuerda BleepingComputer. Lazarus lo usó para implementar su puerta trasera HTTP(S) “BLINDINGCAN”, un troyano de acceso remoto (RAT) que puede ejecutar varios comandos, tomar capturas de pantalla de los puntos finales comprometidos, crear y terminar varios procesos, filtrar datos e información del sistema, y más.
El actor de amenazas también usó las vulnerabilidades para implementar FudModule Rootkit, un cargador HTTP (S), así como aplicaciones de código abierto comprometidas wolfSSL y FingerText.
Vía: BleepingComputer (se abre en una pestaña nueva)