Lazarus Bilgisayar Korsanları Dell Sürücü Hatasını Kullanarak Windows Rootkit'i Yüklüyor

ReusLux
6 Eki, 2022

Google News Abone Ol

Lazarus Bilgisayar Korsanları Dell Sürücü Hatasını Kullanarak Windows Rootkit'i Yüklüyor

Geçenlerde ESET'teki uzmanlar tarafından BYOVD (Kendi Savunmasız Sürücünüzü Getirin) yöntemini kullanan bir saldırı gözlemlendi. Bu saldırıda, Kuzey Koreli bilgisayar korsanlığı grubu Lazarus, Dell donanım sürücüsünden yararlanan bir Windows rootkit'i kurdu.

Hollanda'daki bir havacılık uzmanı ve Belçika'daki bir siyasi gazetecinin, 2021 sonbaharında ortaya çıkan spear-phishing kampanyasının hedefleri olduğu doğrulandı.

Mevcut kampanyada, bilgisayar korsanlarının birincil amacı veri çalmak ve casusluk yapmaktı.

Dell Sürücü Hatasından Yararlanan Bilgisayar Korsanları

Bu kampanyanın bir parçası olarak çok sayıda AB merkezli kullanıcı, bilgisayar korsanları tarafından hedef alınıyor. Bilgisayar korsanları, hedeflerine e-posta yoluyla sahte iş teklifleri gönderdi ve bu sefer Amazon çalışanları gibi davrandı.

Lazarus Bilgisayar Korsanları Dell Sürücü Hatasını Kullanarak Windows Rootkit'i Yüklüyor

2022'de bir tür sosyal mühendislik hilesi olarak, bilgisayar korsanlarının sosyal mühendislik kampanyalarının bir parçası olarak sahte iş teklifleri kullanmaları muhtemeldir.

Bu belgelerin enfeksiyonları genellikle aşağıdaki unsurların hedeflerinin sistemine uygulanmasını içerir:

  • Kötü amaçlı yazılım yükleyiciler (Malware loaders)
  • Kötü amaçlı indiriciler (Malicious downloaders)
  • Özel arka kapılar (Custom backdoors)

Rapora göre, bu öğeler sabit kodlanmış bir adresten indiriliyor ve hedefin bilgisayarına virüs bulaştırmak için kullanılıyor. Bu kampanya çok çeşitli araçlar kullandı, ancak en ilginçlerinden biri FudModule adlı yepyeni bir rootkit aracı.

Her şeyden önce, bu rootkit, bir BYOVD tekniğinden ilk kez yararlanılan bir BYOVD tekniğine sahip bir Dell donanım sürücüsündeki güvenlik açığından yararlanır.

Araçlar açısından, saldırganlar diğerlerinden farklı bir kullanıcı modu modülü sundu. Bu modülün çekirdek belleğini okuyup yazmasına olanak tanıyan CVE-2021-21551 güvenlik açığı nedeniyle meşru bir Dell sürücüsünün güvenliği ihlal edilmiştir.

Çekirdek belleğine (kernel memory) eriştikten sonra, saldırganlar yedi Windows işletim sistemi mekanizmasını devre dışı bırakır. Tüm bu Windows mekanizmaları, eylemlerini izlemek için çeşitli araçlar sunar, örneğin:

  • Kayıt defteri (Registry)
  • Dosya sistemi (File system)
  • Süreç oluşturma (Process creation)
  • Olay izleme (Event tracing)

Kötü Amaçlı Araç Seti Kullanımı

Aşağıda, bilgisayar korsanları tarafından kullanılan tüm kötü amaçlı yazılımlardan, araçlardan, droppers ve yükleyicilerden (loaders) bahsettik:

  • BLINDINGCAN
  • HTTP(S) downloader
  • HTTP(S) uploader
  • FudModule Rootkit
  • Trojanized lecui
  • Trojanized FingerText
  • Trojanized sslSniffer

Bu saldırı, Dell donanım sürücüsünde CVE-2021-21551'e karşı savunmasız olduğu keşfedilen "dbutil_2_3.sys" adlı bir güvenlik açığından yararlandı. Bu, FudModule.dll tarafından düşürülen Dell'in meşru bir sürücüsüdür ve potansiyel olarak savunmasız bir sürücüdür.

Saldırganlar, CVE-2021-21551 güvenlik açığından yararlanarak vahşi doğada ilk kez tüm güvenlik çözümlerini aynı anda kapatabildi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url