黑客組織 Lazarus 偽裝成 Amazon 信件入侵

國際資安大廠 ESET 於近期發現一波惡意文件攻擊行動，受害者為一名荷蘭航太公司員工及一名比利時政治記者，他們分別經由 LinkedIn 及電子郵件收到偽裝來自 Amazon 的信件開啟後中標。這波攻擊主要目的在於竊取資訊。經過分析後，判定是由曾駭入過 Sony 的黑客組織 Lazarus 所為。

ESET 研究人員表示，這波攻擊最值得注意的是，黑客開採了 Dell 一項重大風險韌體漏洞 CVE-2021-21551，這項漏洞是在去年（2021）被揭露，位於 Dell 驅動程式 DBUtil（dbutil_2_3.sys）之中，屬於存取控管不足漏洞，可讓具本機非管理員權限的攻擊者取得核心模式執行權限，以執行惡意程式碼，風險值 8.8。此漏洞可以透過 Dell 更新的程式發布給 Dell 消費及企業終端，包括電腦、平板等，估計可能數量達千萬甚至上億台。在去年公布時，這漏洞還沒有遭到開採的記錄，且 Dell 2 也在同年即修補了 CVE-2021-21551 漏洞。

ESET 研究人員指出，這是 CVE-2021-21551 有記錄以來首次被開採，經由這項漏洞，黑客在用戶電腦中下載了一款使用者模式（user-mode）模組，而得以讀寫 Windows 核心記憶體，然後再利用核心記憶體寫入的權利，關閉 Windows 7 用以監控惡意活動的機制，包括登錄編輯程式、檔案系統、行程建立、及事件追蹤（event tracing）等。

藉由關閉 Windows 的安全監控機制，Lazarus 得以在受害者電腦中植入多種惡意程式，包括 dropper、loader、HTTPS 後門程式、HTTPS 上傳器及下載器程式，其中包括 Blindingcan 遠端存取木馬（Remote Access Trojan，RAT）。

Blindingcan 多年前即被北韓黑客用以攻擊全球多國人士，具有竊取資訊、建立或終止新程序，或是搜尋、寫入、移動與刪除、變更檔案、變更時間戳記，刪除自己蹤跡等強大能力。

除了核心記憶體外，黑客可能也已成功存取多項 Windows 內前所少見或未見的區域，研究人員說這有待日後研究。

ESET 資安專家提醒儘速升級 Dell DBUtil 韌體外，企業用戶也應規範員工，不得在公司網絡內的電腦上從事私人事務，讓黑客有可趁之機。