هکرهای لازاروس با استفاده از باگ درایور دل به سیستمهای این رایانهها نفوذ میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cybersecurity News، کارشناسان شرکت ایزت یک حمله سایبری به روش BYOVD را کشف کرده است که در رایانههای شرکت دل (Dell) رخ میدهد. در این نوع حمله، لازاروس، گروه هکر اهل کره شمالی، یک روتکیت ویندوز را نصب میکند که از باگی در درایور سختافزاری دل سوء استفاده میکرد.
یک کارشناس هوافضا در هلند و یک روزنامهنگار سیاسی در بلژیک به عنوان هدف یک کمپین فیشینگ قرار گرفته بودند، چنین حملهای را تأیید کردهاند. در این کمپین فیشینگ، هدف اصلی هکرها سرقت داده و جاسوسی است.
تعداد زیادی از کاربران مستقر در اتحادیه اروپا به عنوان بخشی از این کمپین مورد هدف هکرها قرار میگیرند. هکرها پیشنهادهای شغلی جعلی را از طریق ایمیل به اهداف خود ارسال کردند و این بار به عنوان کارمندان آمازون ظاهر شدند.
به عنوان نوعی ترفند مهندسی اجتماعی در سال ۲۰۲۲، هکرها احتمالاً از پیشنهادهای شغلی جعلی به عنوان بخشی از کمپین مهندسی اجتماعی خود استفاده میکنند.
آلودگی این اسناد معمولاً شامل اجرای عناصری از جمله لودرهای بدافزار، نرمافزارهای مخرب و درهای پشتی در سیستم اهداف آنها میشود.
بر اساس این گزارش، این عناصر از یک آدرس هاردکد دانلود شده و برای آلوده کردن رایانه هدف مورد استفاده قرار میگیرند. این کمپین از طیف گستردهای از ابزارها استفاده میکرد، اما یکی از جالبترین آنها یک ابزار روتکیت کاملاً جدید به نام FudModule است.
اول از همه، این روتکیت از
آسیبپذیری موجود در درایور سختافزار دل با تکنیک BYOVD سوء استفاده میکند که اولین بار است که یک تکنیک BYOVD مورد سوء استفاده قرار میگیرد.
از نظر ابزارها، مهاجمان یک ماژول حالت کاربر ارائه کردند که از بقیه متمایز بود. یک درایور قانونی دل توسط آسیبپذیری CVE-2021-21551 به خطر افتاده است که این ماژول را قادر میسازد تا حافظه هسته را بخواند و بنویسد.
مهاجمان پس از دسترسی به حافظه هسته، هفت مکانیسم سیستم عامل ویندوز را غیرفعال کردند. همه این مکانیسمهای ویندوز ابزارهای مختلفی مانند ثبت، سیستم فایل و ایجاد فرآیند را برای نظارت بر عملکرد آن ارائه میدهند.
منبع:
Cybersecurity News
دریافت صفحه با کد QR