ثغرة برنامج تشغيل Dell

قراصنة يستغلون ثغرة برنامج تشغيل Dell لنشر Rootkit على أجهزة الكمبيوتر المستهدفة

لوحظت مجموعة Lazarus Group المدعومة من كوريا الشمالية. انها تنشر برنامج rootkit لنظام التشغيل Windows. هذا من خلال الاستفادة من ثغرة في برنامج تشغيل البرامج الثابتة من Dell. مما يسلط الضوء على التكتيكات الجديدة التي اعتمدها الخصم الذي ترعاه الدولة. ثغرة برنامج تشغيل Dell التي تصيب الاجهزه.

يعد هجوم إحضار سائقك الضعيف ( BYOVD ). الذي وقع في خريف عام 2021، نوعًا آخر من النشاط الموجه نحو التجسس لدى الفاعل الموجه نحو التهديد. والذي يطلق عليه عملية الاستلام في (ثالثًا) والموجه ضد صناعات الطيران والدفاع.

قال بيتر كالناي ، الباحث في ESET: “بدأت الحملة برسائل بريد إلكتروني تصيد احتيالي تحتوي على وثائق خبيثة على شكل أمازون واستهدفت موظفًا في شركة طيران في هولندا ، وصحفيًا سياسيًا في بلجيكا” .

تكشفت سلاسل الهجوم عند فتح مستندات الإغراء ، مما أدى إلى توزيع القطارات الخبيثة التي كانت عبارة عن نسخ طروادة من مشاريع مفتوحة المصدر ، مما يؤكد التقارير الأخيرة من Mandiant و Microsoft من Google .

قالت ESET إنها كشفت عن أدلة على قيام Lazarus بإسقاط نسخ مسلحة من FingerText و sslSniffer ، وهو أحد مكونات مكتبة wolfSSL ، بالإضافة إلى أدوات التنزيل والقائمين بالتحميل المستندة إلى HTTPS.

كما مهدت عمليات الاقتحام الطريق للباب الخلفي المختار للمجموعة والذي يطلق عليه اسم BLINDINGCAN – المعروف أيضًا باسم AIRDRY و ZetaNile – والذي يمكن للمشغل استخدامه للتحكم في الأنظمة المخترقة واستكشافها.

ولكن ما هو ملحوظ في هجمات 2021 كان وحدة rootkit التي استغلت خطأ سائق Dell لاكتساب القدرة على قراءة وكتابة ذاكرة kernel. تتعلق المشكلة ، التي تم تتبعها على أنها CVE-2021-21551 ، بمجموعة من الثغرات الأمنية الحرجة في تصعيد الامتيازات في dbutil_2_3.sys.

كذلك وأشار كالناي إلى أن “[هذا] يمثل أول إساءة استخدام مسجلة للثغرة الأمنية CVE-2021-21551”. “تعمل هذه الأداة ، جنبًا إلى جنب مع الثغرة الأمنية ، على تعطيل مراقبة جميع الحلول الأمنية على الأجهزة المخترقة.”

هكذا تم تسمية البرنامج الضار غير الموثق سابقًا باسم FudModule. وهو يحقق أهدافه عبر طرق متعددة. “إما غير معروفة من قبل أو مألوفة فقط للباحثين الأمنيين المتخصصين ومطوري (مكافحة) الغش” ، وفقًا لـ ESET.

“استخدم المهاجمون بعد ذلك إمكانية الوصول إلى ذاكرة kernel الخاصة بهم لتعطيل سبع آليات يقدمها نظام التشغيل Windows لمراقبة إجراءاته. مثل التسجيل ونظام الملفات وإنشاء العملية وتتبع الأحداث وما إلى ذلك ، مما يؤدي بشكل أساسي إلى تعمية الحلول الأمنية بطريقة عامة وقوية للغاية قال كالناي. “مما لا شك فيه أن هذا يتطلب بحثًا عميقًا وتطويرًا واختبار المهارات.”

كذلك ليست هذه هي المرة الأولى التي يلجأ فيها ممثل التهديد إلى استخدام برنامج تشغيل ضعيف لشن هجمات rootkit. في الشهر الماضي فقط. قام ASEC التابع لشركة AhnLab. بتفصيل استغلال برنامج تشغيل شرعي يعرف باسم “ene.sys” لنزع سلاح برنامج الأمان المثبت في الأجهزة.

النتائج هي دليل على مثابرة مجموعة Lazarus وقدرتها على الابتكار وتحويل تكتيكاتها. كما هو مطلوب على مر السنين على الرغم من التدقيق المكثف لأنشطة المجموعة من قبل كل من تطبيق القانون ومجتمع البحث الأوسع.

وقالت الشركة:

في النهاية “التنوع والعدد والغرابة في تنفيذ حملات Lazarus. هي التي تحدد هذه المجموعة. فضلاً عن أنها تؤدي جميع الركائز الثلاث لأنشطة الجريمة الإلكترونية. التجسس الإلكتروني، والتخريب الإلكتروني، والسعي لتحقيق مكاسب مالية”.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.