Dell ドライバの脆弱性 CVE-2021-21551：北朝鮮のハッカー集団 Lazarus が悪用

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers

2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙／防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。

ESET の研究者である Peter Kálnai は、「このキャンペーンは、Amazon をテーマにした悪意の文書を含むスピアフィッシング・メールから始まり、オランダの航空宇宙企業の従業員と、ベルギーの政治ジャーナリストをターゲットにしていた」と述べている。

一連の攻撃は、ターゲットがルアー文書を開くところから始まり、オープンソース・プロジェクトをトロイの木馬化した悪意のドロッパーが配布される。このことは、Mandiant／Microsoft の最近の報告を裏付けている。

ESET は、Lazarus が HTTPs ベースのダウンローダーやアップローダーに加えて、兵器化したバージョンの FingerText／wolfSSL ライブラリのコンポーネントである、sslSniffer をドロップしていた証拠を発見したと述べている。

また、この侵入により、BLINDINGCAN  (別名 AIRDRY／ZetaNile) と呼ばれる、同グループのバックドアへの経路が開かれ、それにより感染したシステムを制御し、探索することが可能になっていた。

しかし、2021年の攻撃で注目すべきは、Dell ドライバの脆弱性を悪用して、カーネル・メモリを読み書きする能力を獲得する、ルートキット・モジュールの存在だ。この問題は CVE-2021-21551 として追跡されており、dbutil_2_3.sys における一連の重大な特権昇格につながる可能性があるという。

Kálnai は、「これは、CVE-2021-21551 の脆弱性を悪用した最初の事例である。このルートキット・モジュールと脆弱性を組み合わせることで、感染したマシン上の全セキュリティ・ソリューションの監視が無効化される」と語っている。

このマルウェアは FudModule と名付けられており、これまでは文書化されていない。ESET は、「FudModule は、これまで知られていなかったか、専門のセキュリティ研究者などのみが知っている、複数の方法により攻撃が実現される」と述べている。

Kálnai は、「攻撃者は、カーネル・メモリへの書き込みアクセスを使って、レジストリ／ファイルシステム／プロセス作成／イベント・トレースなどの動作を監視するための、Windows OS の７つのメカニズムを無効化し、きわめて汎用的かつ堅牢な方法で、セキュリティ・ソリューションを無効にしていく。その、研究／開発／テストなどにおいては、高度なスキルが必要だったはずだ」と述べている。

ルートキット攻撃を行うために、脅威アクターが脆弱なドライバを悪用するのは、今回が初めてではない。先月には、AhnLab の ASEC が、ene.sys と呼ばれる正規のドライバを悪用して、マシンにインストールされたセキュリティ・ソフトウェアを無効化したことが明らかにされている。

長年にわたり Lazarus Group は、複数の国々の法執行機関や研究コミュニティから、活動を厳しく監視されてきた。それにもかかわらず、必要に応じて、同グループが戦術を革新／変化させてきたことを、今回の調査結果が示している。

ESET は、「Lazarus キャンペーンの実施における多様性／量的レベル／奇抜さは、このグループを定義するだけではなく、サイバー犯罪活動の 三本柱である、サイバースパイ活動／サイバー妨害活動／金銭的利益を、全面的に追求することを示している」と述べている。

脆弱性 CVE-2021-21551 ですが、2022年3月31日に CISA の KEV に追加されています。また、2021年12月12日の「Dell 製ドライバに存在し続ける Windows Kernel レベル攻撃の脆弱性」には、「Dell 製のドライバに存在する５つの脆弱性が、まとめて CVE-2021-21551 として公開された。しかし、Dell の修正は、さらなる悪用を防ぐために、十分な包括的なものとは言えない。今後の BYOVD (Bring Your Own Vulnerable Driver) 攻撃の格好の候補となっている」と記されています。ファームウェアの脆弱性は、パッチが適用されても、それが行き渡るまでには時間がかかります。その時間的なギャップを、Lazarus に悪用されたのでしょうか。