Grupul de hackeri notoriu nord-coreean Lazarus a exploatat o defecțiune zero-day în driverul Windows AFD.sys pentru a eleva privilegiile și a instala rootkit-ul FUDModule pe sistemele vizate.
Microsoft a remediat defecțiunea, urmărită sub denumirea CVE-2024-38193, în timpul Patch Tuesday din august 2024, împreună cu alte șapte vulnerabilități zero-day.
CVE-2024-38193 este o vulnerabilitate Bring Your Own Vulnerable Driver (BYOVD) în driverul Windows Ancillary Function Driver pentru WinSock (AFD.sys), care acționează ca punct de intrare în kernel-ul Windows pentru protocolul Winsock.
Defecțiunea a fost descoperită de cercetătorii Gen Digital, care spun că grupul de hackeri Lazarus a exploatat defecțiunea AFD.sys ca zero-day pentru a instala rootkit-ul FUDModule, utilizat pentru a evita detectarea prin dezactivarea funcțiilor de monitorizare Windows.
„La începutul lunii iunie, Luigino Camastra și Milanek au descoperit că grupul Lazarus exploata o defecțiune de securitate ascunsă într-o parte crucială a Windows numită driverul AFD.sys,” a avertizat Gen Digital.
„Această defecțiune le-a permis să obțină acces neautorizat la zone sensibile ale sistemului. Am descoperit, de asemenea, că au folosit un tip special de malware numit Fudmodule pentru a-și ascunde activitățile de software-ul de securitate.”
Un atac Bring Your Own Vulnerable Driver are loc atunci când atacatorii instalează drivere cu vulnerabilități cunoscute pe mașinile vizate, care sunt apoi exploatate pentru a obține privilegii la nivel de kernel. Actorii de amenințare abuzează adesea de driverele terțe, cum ar fi cele ale antivirusului sau ale hardware-ului, care necesită privilegii ridicate pentru a interacționa cu kernel-ul.
Ceea ce face această vulnerabilitate în mod special periculoasă este că vulnerabilitatea se afla în AFD.sys, un driver instalat implicit pe toate dispozitivele Windows. Acest lucru le-a permis actorilor de amenințare să efectueze acest tip de atac fără a fi nevoie să instaleze un driver mai vechi, vulnerabil, care ar putea fi blocat de Windows și ușor detectat.
Grupul Lazarus a abuzat anterior de driverele kernel Windows appid.sys și Dell dbutil_2_3.sys în atacuri BYOVD pentru a instala FUDModule.
Deși Gen Digital nu a distribuit detalii despre cine a fost vizat în atac și când au avut loc atacurile, se știe că Lazarus vizează firmele financiare și de criptomonede în atacuri cibernetice de milioane de dolari folosite pentru a finanța programele militare și cibernetice ale guvernului nord-coreean.
Grupul a devenit cunoscut după atacul de șantaj cibernetic asupra Sony Pictures din 2014 și campania globală de ransomware WannaCry din 2017 care a criptat afaceri din întreaga lume.
În aprilie 2022, guvernul SUA a legat grupul Lazarus de un atac cibernetic asupra Axie Infinity care i-a permis actorilor de amenințare să fure peste 617 milioane de dolari în criptomonede.
Guvernul SUA oferă o recompensă de până la 5 milioane de dolari pentru informații despre activitatea malitioasă a hackerilor DPRK pentru a-i identifica sau localiza.
Microsoft Patch Tuesday din august 2024 remediază 9 vulnerabilități zero-day, 6 exploatate
Ziua zero a Telegram a permis trimiterea de APK-uri Android malitioase sub formă de videoclipuri
Ziua zero Windows MSHTML folosită în atacuri malware timp de peste un an
Microsoft Patch Tuesday din iulie 2024 remediază 142 de defecte, 4 zero-day-uri
Banda de ransomware deploiează un nou malware pentru a elimina software-ul de securitate
Leave a Reply