Fejlesztés
Új Windows sebezhetőség került napvilágra, amelyet a Microsoft nemrég javított, és amelyet a Észak-Koreai kormány által támogatott hekkercsoport, a Lazarus használt ki. A sebezhetőség, amelyet a CVE-2024-38193-as azonosítóval láttak el, a Microsoft havi frissítése során került javításra, és a „használat után szabad” kategóriába tartozik.
Az AFD.sys fájlban található sebezhetőség lehetővé tette a támadók számára, hogy megkerüljék a normál biztonsági korlátozásokat, és hozzáférjenek a rendszer érzékeny területeihez. A Gen biztonsági cég kutatói felfedték, hogy a Lazarus csoport a FudModule nevű fejlett kártevőt telepítette, amely képes a Windows legmélyebb rétegeiben működni, és megakadályozza a belső és külső biztonsági védelem figyelését.
A kártevő működése
A FudModule egy rootkit típusú kártevő, amely rejtve tartja fájljait és folyamatait az operációs rendszer elől. A rootkitek működéséhez először rendszergazdai jogosultságokat kell szerezniük, majd közvetlenül interakcióba lépniük a kernel-funkciókkal. A Lazarus csoport a „hozd a saját sebezhető drivert” módszert alkalmazta az előző FudModule verziók telepítésére, míg az Avast által felfedezett új verziót az appid.sys hibájának kihasználásával telepítették.
A Microsoft hat hónapig nem reagált az Avast által bejelentett sebezhetőségre, ezalatt a Lazarus folytatta a kihasználását. A Windows AppLocker szolgáltatást engedélyező drivert közvetlenül a Windows rendszerébe építették, így a támadók számára könnyű célpontot jelentett.
A Gen cég nem osztotta meg, hogy a Lazarus mikor kezdte el kihasználni a CVE-2024-38193 sebezhetőséget, hány szervezetet céloztak meg, és hogy az új FudModule verziót észlelték-e bármilyen védelmi szolgáltatás által.
Érdekes tény: A rootkitek a kártevők egyik legnehezebben észlelhető típusa, mivel képesek elrejteni magukat az operációs rendszer elől, és így a felhasználók észrevétlenül fertőzhetik meg a rendszereiket.
Források
Microsoft, Gen, Avast, ESET, AhnLab