Grupul de amenințări nord-coreene cunoscut sub numele de Grupul Lazarus a exploatat o defecțiune în driverul Windows AppLocker (appid.sys) ca un zero-day pentru a obține acces la nivel de kernel și pentru a dezactiva instrumentele de securitate, permițându-le să ocolească tehnicile zgomotoase BYOVD (Bring Your Own Vulnerable Driver).
Această activitate a fost detectată de analiștii Avast, care au raportat prompt aceasta la Microsoft, conducând la o soluție pentru defecțiune, acum urmărită sub numele CVE-2024-21338, ca parte a Patch Tuesday din februarie 2024. Cu toate acestea, Microsoft nu a marcat defecțiunea ca fiind exploatată ca zero-day.
Avast raportează că Lazarus a exploatat CVE-2024-21338 pentru a crea un primitiv de kernel de citire/scriere într-o versiune actualizată a rootkit-ului său FudModule, pe care ESET l-a documentat pentru prima dată la sfârșitul anului 2022. Anterior, rootkit-ul abuza de un driver Dell pentru atacuri BYOVD.
Noua versiune a FudModule dispune de îmbunătățiri semnificative în furtivitate și funcționalitate, inclusiv tehnici noi și actualizate pentru evitarea detectării și dezactivarea protecțiilor de securitate precum Microsoft Defender și CrowdStrike Falcon.
Mai mult, recuperând cea mai mare parte a lanțului de atac, Avast a descoperit un troian de acces la distanță (RAT) anterior nedocumentat folosit de Lazarus, pe care firma de securitate a promis că va împărtăși mai multe detalii la BlackHat Asia în aprilie.
Malware-ul a exploatat o vulnerabilitate în driverul ‘appid.sys’ al Microsoft, un component Windows AppLocker care oferă capacități de listare albă a aplicațiilor.
Lazarus o exploatează prin manipularea dispecerului de control de intrare și ieșire (IOCTL) în driverul appid.sys pentru a apela un pointer arbitrar, păcălind kernelul să execute cod nesigur, ocolind astfel verificările de securitate.
Rootkit-ul FudModule, construit în același modul ca exploatarea, execută operațiuni de manipulare a obiectelor kernel (DKOM) pentru a dezactiva produsele de securitate, a ascunde activitățile dăunătoare și a menține persistența în sistemul compromis.
Produsele de securitate vizate sunt AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon și soluția anti-malware HitmanPro.
Avast a observat caracteristici noi de furtivitate și capacități extinse în noua versiune a rootkit-ului, precum capacitatea de a suspecta procesele protejate de Protecția Proceselor Light (PPL) prin manipularea intrărilor tabelului de manipulare, perturbarea selectivă și țintită prin DKOM, îmbunătățiri în falsificarea Execuției Semnăturii Driverului și a Boot-ului Securizat și altele.
Avast remarcă că această nouă tactică de exploatare marchează o evoluție semnificativă în capacitățile de acces la kernel ale actorului de amenințări, permițându-le să lanseze atacuri mai furtunoase și să persiste pe sistemele compromise pentru perioade mai lungi.
Măsura de securitate eficientă este să aplicați actualizările Patch Tuesday din februarie 2024 cât mai curând posibil, deoarece exploatarea de către Lazarus a unui driver integrat în Windows face atacul deosebit de dificil de detectat și oprit.
Regulile YARA pentru a ajuta apărătorii să detecteze activitatea legată de cea mai recentă versiune a rootkit-ului FudModule pot fi găsite aici.
Microsoft Patch Tuesday din februarie 2024 repară 2 zero-day-uri, 73 de defecte
Microsoft Patch Tuesday din ianuarie 2024 repară 49 de defecte, 12 bug-uri RCE
Japonia avertizează cu privire la pachetele PyPi malitioase create de hackerii nord-coreeni
Hackerii nord-coreeni legați de atacul de aprovizionare a sectorului de apărare
Hackerii nord-coreeni spală acum criptomonede furate prin intermediul mixerului YoMix
Leave a Reply