Die Hackergruppe Lazarus brachte für Angriffe auf Ziele in Europa einfach ihren eigenen Dell-Treiber mit, der 12 Jahre lang ungepatcht blieb.
Durch gefälschte Amazon-Stellenangebote verteilte die Hackergruppe Lazarus unter anderem ein Rootkit auf den Systemen ihrer Opfer, das eine Schwachstelle in einem Dell-Hardwaretreiber ausnutzt, um den Kernel-Speicher des Betriebssystems zu manipulieren. Den Treiber, der 12 Jahre lang ungepatcht blieb, brachten die Angreifer einfach selber mit zur Party.
Lazarus verteilt Malware durch gefälschte Amazon-Stellenangebote
Ein niederländischer Luft- und Raumfahrtexperte sowie ein politischer Journalist in Belgien waren im Herbst 2021 Opfer einer Spearphishing-Kampagne der nordkoreanischen Hackergruppe Lazarus. Dabei standen Spionage und Datendiebstahl im Fokus der Angreifer.
Durch den Versand von gefälschten Amazon-Stellenangeboten per E-Mail verschafften sich die Hacker einen ersten Zugang zu ihren Zielen. Eine ähnliche Vorgehensweise nutzten die Angreifer auch in diesem Jahr, um eine Malware auf macOS-Geräte zu verteilen. Öffnet das Opfer das enthaltene Dokument, so erfolgt im Hintergrund automatisch der Download von Malware-Loadern, Droppern oder Backdoors, die Lazarus infolgedessen einen Zugriff auf das infizierte System gewähren.
Dell-Hardwaretreiber ließ sich 12 Jahre lang ausnutzen
Eine interessante Neuigkeit dieser Kampagne ist laut Sicherheitsforschern von ESET ein neues FudModule-Rootkit. Damit nutzten die Hacker von Lazarus erstmals eine Sicherheitslücke (CVE-2021-21551) in einem Dell-Hardwaretreiber aus, den sie jedoch im Rahmen einer BYOVD-Technik (Bring Your Own Vulnerable Driver) selber auf das angegriffene System luden, um darüber den Kernel-Speicher zu lesen und zu manipulieren.
„Die Angreifer nutzten dann ihren Schreibzugriff auf den Kernel-Speicher, um sieben Mechanismen zu deaktivieren, die das Windows-Betriebssystem zur Überwachung seiner Aktionen anbietet, wie z. B. Registrierung, Dateisystem, Prozesserstellung, Ereignisverfolgung usw., wodurch Sicherheitslösungen im Grunde genommen auf sehr generische und robuste Weise außer Kraft gesetzt wurden.“
ESET
Wie BleepingComputer berichtet, gehört die von Lazarus ausgenutzte Sicherheitslücke im Dell-Hardwaretreiber („dbutil_2_3.sys„) zu einer von fünf Schwachstellen, die Angreifer „12 Jahre lang ausnutzen konnten, bevor der Computerhersteller endlich Sicherheitsupdates für sie herausbrachte.“ Und da der Treiber signiert ist, erlaubt das Betriebssystem dessen Installation durch die Hacker. Sicherheitsforscher von Rapid 7 warnten bereits im Dezember 2021 vor der möglichen Ausnutzung dieses Treibers für BYOVD-Angriffe.
Weitere Tools aus dem Werkzeugkasten von Lazarus
Neben dem Treiber von Dell setzte Lazarus bei der beschriebenen Kampagne mitunter eine eigens entwickelte HTTP(S)-Backdoor ein. Das Tool mit dem Namen „BLINDINGCAN“ entdeckten US-Geheimdienste erstmals im August 2020.
„Die Backdoor unterstützt einen umfangreichen Satz von 25 Befehlen, die Dateiaktionen, die Ausführung von Befehlen, die Konfiguration der C2-Kommunikation, die Erstellung von Screenshots, die Erstellung und Beendigung von Prozessen sowie die Exfiltration von Systeminformationen umfassen.“
BleepingComputer
Außerdem nutzte Lazarus einen HTTP(S)-Uploader für die sichere Datenexfiltration sowie verschiedene trojanisierte Open-Source-Anwendungen wie wolfSSL und FingerText.
