Notoricky známí aktéři Lazarus Group využili nedávno opravenou zero-day chybu eskalace privilegií v jádře Windows k získání přístupu na úrovni jádra a deaktivaci bezpečnostního softwaru na kompromitovaných hostitelích.

Dotyčná chyba zabezpečení je CVE-2024-21338 (CVSS skóre: 7,8), která může útočníkovi umožnit získat systémová oprávnění. Microsoft to vyřešil začátkem tohoto měsíce v rámci aktualizací Patch Tuesday.

„Aby mohl útočník zneužít tuto chybu zabezpečení, musel by se nejprve přihlásit do systému,” uvedl Microsoft. „Útočník by pak mohl spustit speciálně vytvořenou aplikaci, která by mohla zneužít zranitelnost a převzít kontrolu nad postiženým systémem.”

Zatímco v době vydání aktualizací neexistovaly žádné náznaky aktivního využívání CVE-2024-21338, Redmond nyní revidoval své „posouzení využitelnosti“ kvůli chybě na „Exploitation Detected“.

V současné době není jasné, kdy k útokům došlo, ale zranitelnost údajně byla představena ve Windows 10, verze 1703 (RS2/15063), když byl poprvé implementován obslužný program 0x22A018 IOCTL (zkratka pro řízení vstupu/výstupu).

Prodejce kybernetické bezpečnosti Avast, který pro tuto chybu objevil zneužití admin-to-kernel, uvedl, že primitivum pro čtení/zápis jádra dosažené zbrojením této chyby umožnilo skupině Lazarus „provádět přímou manipulaci s objekty jádra v aktualizované verzi jejich rootkit FudModule pouze pro data”.

Rootkit FudModule byl poprvé oznámen společnostmi ESET a AhnLab v říjnu 2022 jako schopný deaktivovat monitorování všech bezpečnostních řešení na infikovaných hostitelích pomocí útoku, který se nazývá Bring Your Own Vulnerable Driver (BYOVD).

Poslední útok je významný tím, že jde „za rámec BYOVD tím, že využívá zero-day v ovladači, o kterém je známo, že je již nainstalován na cílovém počítači“. Tím náchylným ovladačem je appid.sys, který je zásadní pro fungování komponenty Windows zvané AppLocker, která je zodpovědná za řízení aplikací.

Reálný exploit navržený společností Lazarus Group znamená použití CVE-2024-21338 v ovladači appid.sys ke spuštění libovolného kódu způsobem, který obejde všechny bezpečnostní kontroly a spustí rootkit FudModule.

„FudModule je jen volně integrován do zbytku malwarového ekosystému Lazarus a Lazarus je velmi opatrný při používání rootkitu, nasazuje jej pouze na vyžádání za správných okolností,” řekl bezpečnostní výzkumník Jan Vojtěšek a popsal malware jako v aktivním vývoji.

Kromě podniknutí kroků k obcházení detekce deaktivací systémových loggerů je FudModule navržen tak, aby vypínal specifický bezpečnostní software, jako je AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro a Microsoft Defender Antivirus (dříve Windows Defender).

Tento vývoj představuje novou úroveň technické vyspělosti spojenou se severokorejskými hackerskými skupinami, které neustále vylepšují svůj arzenál pro lepší utajení a funkčnost. Také ilustruje propracované techniky používané k zabránění odhalení a mnohem obtížnějšímu sledování.

Zaměření na různé platformy je také doloženo skutečností, že bylo pozorováno pomocí falešných kalendářových pozvánek na schůzky za účelem tajné instalace malwaru na systémy Apple macOS, což je kampaň, která byla dříve zdokumentována SlowMist v prosinci 2023.

Zdroj: thehackernews.com

Obrázek: Pixabay