O Lazarus Group, apoiado pela Coreia do Norte, foi observado implantando um rootkit no Windows aproveitando uma exploração em um driver de firmware da Dell.
“A campanha começou com e-mails de spear phishing contendo documentos maliciosos com temas da Amazon e teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica”, disse o pesquisador da ESET, Peter Kálnai.
O rootkit explora uma falha de driver da Dell para obter a capacidade de ler e gravar na memória do kernel. O problema, rastreado como CVE-2021-21551, está relacionado a um conjunto de vulnerabilidades críticas de escalonamento de privilégios em dbutil_2_3.sys.
“Os invasores usaram o acesso de gravação da memória do kernel para desabilitar sete mecanismos que o sistema operacional Windows oferece para monitorar suas ações, como registro, sistema de arquivos, criação de processos, rastreamento de eventos etc., basicamente cegando soluções de segurança de uma maneira muito genérica e robusta.”, disse Kalnai. “Sem dúvida, isso exigiu profunda pesquisa, desenvolvimento e habilidades de teste.”