Исследователи ESET обнаружили и проанализировали набор вредоносных инструментов, которые использовались печально известной APT-группой Lazarus в атаках осенью 2021 года. Кампания началась со спирфишинговых писем, содержащих вредоносные документы на тему Amazon, и была направлена на сотрудника аэрокосмической компании в Нидерландах и политического журналиста в Бельгии. Основной целью злоумышленников была эксфильтрация данных. Lazarus (также известный как HIDDEN COBRA) действует как минимум с 2009 года.
Lazarus APT
Она ответственна за такие громкие инциденты, как взлом Sony Pictures Entertainment и киберхулиганство на десятки миллионов долларов в 2016 году, вспышка WannaCryptor (она же WannaCry) в 2017 году, а также за длительную историю разрушительных атак на государственную и критическую инфраструктуру Южной Кореи, по крайней мере, с 2011 года.
- Кампания Lazarus была направлена на сотрудника аэрокосмической компании в Нидерландах и политического журналиста в Бельгии.
- Наиболее заметный инструмент, использованный в этой кампании, представляет собой первое зарегистрированное использование уязвимости CVE-2021-21551. Эта уязвимость затрагивает драйверы Dell DBUtil; Dell предоставила обновление безопасности в мае 2021 года.
- Этот инструмент, в сочетании с уязвимостью, отключает мониторинг всех решений безопасности на взломанных машинах. Он использует методы борьбы с механизмами ядра Windows, которые ранее никогда не встречались во вредоносных программах.
- Lazarus также использовал в этой кампании свой полнофункциональный HTTP(S) бэкдор, известный как BLINDINGCAN.
- Сложность атаки указывает на то, что Lazarus состоит из большой команды, которая систематически организована и хорошо подготовлена.
Обоим объектам были представлены предложения о работе - сотрудник в Нидерландах получил вложение через LinkedIn Messaging, а человек в Бельгии получил документ по электронной почте. Атаки начались после того, как эти документы были открыты. Злоумышленники развернули на каждой системе несколько вредоносных инструментов, включая дропперы, загрузчики, полнофункциональные HTTP(S) бэкдоры, HTTP(S) загрузчики и загрузчики. Общим для всех дропперов было то, что они представляли собой троянские проекты с открытым исходным кодом, которые расшифровывали встроенную полезную нагрузку с помощью современных блочных шифров с длинными ключами, передаваемыми в качестве аргументов командной строки. Во многих случаях вредоносные файлы представляют собой DLL-компоненты, которые были загружены легитимными EXE, но из необычного места в файловой системе.
Наиболее заметным инструментом, предоставленным злоумышленниками, был модуль пользовательского режима, который получал возможность читать и записывать память ядра благодаря уязвимости CVE-2021-21551 в легитимном драйвере Dell. Это первое зафиксированное использование данной уязвимости в природе. Затем злоумышленники использовали доступ к записи в память ядра для отключения семи механизмов, которые операционная система Windows предлагает для мониторинга своих действий, таких как реестр, файловая система, создание процессов, отслеживание событий и т.д., по сути, ослепляя решения безопасности очень общим и надежным способом.
В этом блоге мы объясняем контекст кампании и предоставляем подробный технический анализ всех компонентов. Это исследование было представлено на конференции Virus Bulletin в этом году. Ввиду оригинальности, основное внимание в презентации уделено вредоносному компоненту, используемому в этой атаке, который использует технику Bring Your Own Vulnerable Driver (BYOVD) и задействует вышеупомянутую уязвимость CVE-2021-21551. Подробную информацию можно найти в техническом документе Lazarus & BYOVD: Зло для ядра Windows.
Indicators of Compromise
IPv4
- 31.11.32.79
- 50.192.28.29
- 67.225.140.4
URLs
- https://turnscor.com/wp-includes/feedback.php
- https://aquaprographix.com/patterns/Map/maps.php
- http://www.stracarrara.org/images/img.asp
SHA1
- 001386cbbc258c3fcc64145c74212a024eaa6657
- 085f3a694a1eecde76a69335cd1ea7f345d61456
- 296d882cb926070f6e43c99b9e1683497b6f17c4
- 4aa48160b0db2f10c7920349e3dcce01cce23fe3
- 55cab89cb8dabcaa944d0bca5cbbbeb86a11ea12
- 569234edfb631b4f99656529ec21067a4c933969
- 735b7e9dfa7af03b751075fd6d3de45fbf0330a2
- 806668ecc4bfb271e645acb42f22f750bff8ee96
- 83cf7d8ef1a241001c599b9bcc8940e089b613fb
- 97daab7b422210ab256824d9759c0dba319ca468
- bd5dcb90c5b5fa7f5350ea2b9ace56e62385ca65
- c71c19dbb5f40dbb9a721dc05d4f9860590a5762
- c948ae14761095e4d76b55d9de86412258be7afd
- fd6d0080d27929c803a91f268b719f725396fe79