Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami.

Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących) i dopiero ten template zawierał makro.

Dlaczego tak dziwnie? Po to żeby spróbować ominąć antywirusa. W przypadku pracownika holenderskiej firmy z branży lotniczej udało się to osiągnąć.

Dalej atakujący wykorzystali podatność (CVE‑2021‑21551) w sterowniku od Della, działającym na laptopie ofiary. Podatność wprawdzie została załatana w 2021 roku, ale kto by się przejmował tego typu aktualizacjami ;-)

The most notable tool used in this campaign represents the first recorded abuse of the CVE‑2021‑21551 vulnerability. This vulnerability affects Dell DBUtil drivers; Dell provided a security update in May 2021.

Co to za podatność? Umożliwia zapis pamięci jądra systemu Windows z poziomu zwykłego użytkownika. Po co to atakującym? Oczywiście po to żeby przejąć maksymalne uprawnienia na komputerze dla swojego malware, a przy okazji zmylić / wyłączyć dodatkowe mechanizmy ochronne (jak np. antywirus).

~Michał Sajdak