戴尔驱动程序漏洞被新一轮拉扎鲁斯攻击利用 媒体
北朝鲜黑客组织最新攻击手法
关键要点
黑客组织:北朝鲜的拉扎勒斯Lazarus组织正在实施针对Dell硬件驱动程序的钓鱼攻击。攻击手法:利用 “携带你自己的易受攻击驱动程序” 方法,伪装成亚马逊的工作机会。影响范围:主要目标为欧洲地区。漏洞:利用的驱动程序漏洞被标记为CVE202121551。安全威胁:攻击者能够绕过Windows操作系统的监控机制,展开隐蔽的恶意活动。自去年秋季以来,北朝鲜国家支持的黑客组织拉扎勒斯Lazarus一直在进行一种名为“携带你自己的易受攻击驱动程序”Bring Your Own Vulnerable Driver的钓鱼攻击,利用一个Dell硬件驱动程序的漏洞。根据BleepingComputer的报告,此攻击向基于欧洲的目标发送虚假的亚马逊工作机会。当目标打开这些邮件时,会从一个硬编码的地址下载远程模板,随后安装恶意软件加载器、投放器和自定义后门。ESET的研究报告显示,FudModule根套件的发送触发了对合法Dell驱动漏洞的利用,该漏洞被追踪为CVE202121551,这也是首次在实际环境中被报告。
研究人员表示:“攻击者利用他们对内核内存的写入访问权限,禁用Windows操作系统提供的七种监控机制,如注册表、文件系统、进程创建、事件跟踪等,基本上在一种非常普遍和稳健的方式下使安全解决方案失效。”
此外,根据ESET的说法,拉扎勒斯还在此次攻击中分发了他们自有的自定义HTTP(S)后门BLINDINGCAN。这些手段的结合使得此次攻击更加隐蔽与复杂,对安全防护构成了严峻挑战。
有关该攻击的更多信息,请参考ESET的详细报告。
飞鸟加速器官方版
