CVE-2021-21551でセキュリティ機能の無効化

厄介な内容を含む攻撃が確認されています。
こんな風に進みます。

• メールが届く
  求人情報を内容とするメールが届きます。
  メールにはファイルが添付されています。
• 添付ファイルを開く
  添付ファイルを開くと、ドロッパー、ローダー、フル機能のHTTP(S)バックドア、HTTP(S)アップローダー、ダウンローダーなど、複数の悪意のあるツールが環境に展開されます。
  展開前のデータは暗号化されているため、メールの添付ファイルとして存在するだけの状態では問題のあるファイルであると検出することは困難です。
  添付ファイルが開かれた段階で復号化されて展開されます。

いつもの流れです。
添付ファイルを開くと侵害された状態になります。

このいろいろと設置されるものの中に厄介な内容を実現するものが含まれていました。

Dellのdbutil_2_3.sysというドライバーの脆弱性を悪用したものです。
その脆弱性はCVE-2021-21551です。
脆弱性を悪用したコードはWindowsカーネルのカーネルメモリの読み取りと書き込みの機能を持つカーネルモジュールとして動作します。
この悪意あるモジュールはいくつも用意されているWindowsの安全監視機構を無効にします。
無効にされるのはWindowsカーネルが提供する、レジストリ、ファイル システム、プロセス作成、イベント トレースなどのアクションの監視機能です。
通常Windows向けに提供されているいろいろなセキュリティ製品は、こういったWindowsカーネルの提供する機能を前提として実装されています。
つまり、このドライバーの脆弱性を悪用したマルウェアは、その環境においてすべてのセキュリティ製品を無効にするようなことをやってしまったのです。
特定のセキュリティ製品を無効にするというアプローチではなく、多くのセキュリティ製品が前提とするWindowsカーネルの機能に対して無効化してきたのです。
これはひどいです。

怪しいメールの巧妙さはどんどん上がってきます。
怪しいと認識することが難しいものも出てきます。
どこまでそういったものを開いてしまわないでいられるかはわかりません。
せめてタイムリーなパッチ適用を日々継続して、システムを最適な状態に保ちたいものです。

参考記事（外部リンク）：Amazon‑themed campaigns of Lazarus in the Netherlands and
Belgium
www.welivesecurity.com/2022/09/30/amazon-themed-campaigns-lazarus-netherlands-belgium/