Северокорейские хакеры Lazarus использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.
Аналитики Avast выявили и сообщили о деятельности хакеров компании Microsoft, что привело к устранению уязвимости ядра Windows, получившей обозначение CVE-2024-21338(оценка CVSS: 7.8) и связанной с повышением привилегий. Однако, Microsoft не классифицировала недостаток как 0day. Ошибка была исправлена в последнем обновлении Patch Tuesday в феврале.
Группа Lazarus использовала CVE-2024-21338 для создания примитива чтения/записи в ядре в обновленной версии своего руткита FudModule, впервые задокументированного ESET в конце 2022 года. Стоит отметить, что FudModule использует метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость в драйвере устройств. Недостаток развязывает киберпреступникам руки, открывая полный доступ к памяти ядра.
В новой версии FudModule внедрены значительные улучшения по скрытности и функциональности, включая новые методы обхода обнаружения и отключения защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.
Кроме того, Avast обнаружила ранее не задокументированный троян удаленного доступа (Remote Access Trojan, ” data-html=”true” data-original-title=”RAT” >RAT), используемый группировкой, о чем компания обещает рассказать подробнее на конференции BlackHat Asia в апреле.
Метод эксплуатации включал манипулирование диспетчером ввода-вывода в драйвере appid.sys для вызова произвольного указателя, что позволяло обойти проверки безопасности. Руткит FudModule выполнял операции прямой манипуляции объектами ядра (Direct Kernel Object Manipulation, DKOM) для отключения продуктов безопасности, скрытия злонамеренных действий и обеспечения устойчивости на зараженной системе.
Среди целей – продукты безопасности AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусное решение HitmanPro. Новая версия руткита обладает функциями скрытности и расширенными возможностями, включая способность приостанавливать защищенные процессы, выборочное и целенаправленное нарушение работы системы защиты.
Avast подчеркивает, что новая тактика эксплуатации свидетельствует о значительной эволюции способностей хакеров к скрытным атакам и удержанию контроля над компрометированными системами на длительный срок. Единственной эффективной мерой безопасности является своевременное применение обновлений, поскольку использование встроенного драйвера Windows делает атаку особенно сложной для обнаружения и пресечения.