Известная хакерская группа Lazarus из Северной Кореи снова попала в заголовки новостей, на этот раз благодаря эксплуатации уязвимости нулевого дня в драйвере Windows AFD.sys. Этот изъян позволил им повысить привилегии и установить руткит FUDModule на целевых системах, что вызвало серьезные опасения в сообществе кибербезопасности.
Уязвимость CVE-2024-38193 и BYOVD-атаки
Microsoft устранила эту уязвимость, обозначенную как CVE-2024-38193, в рамках августовского обновления Patch Tuesday 2024 года, наряду с семью другими уязвимостями нулевого дня. Уязвимость классифицирована как "Bring Your Own Vulnerable Driver" (BYOVD), что означает, что злоумышленники могут использовать известные уязвимости в драйверах для получения несанкционированного доступа к чувствительным областям системы.
Драйвер AFD.sys, который служит точкой входа в ядро Windows для протокола Winsock, был идентифицирован исследователями из компании Gen Digital. Они сообщили, что группа Lazarus использовала этот изъян для установки руткита FUDModule, сложного типа вредоносного ПО, предназначенного для уклонения от обнаружения путем отключения функций мониторинга Windows. “В начале июня Луиджино Камастра и Миланек обнаружили, что группа Lazarus эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys,” предупредила Gen Digital. “Этот изъян позволил им получить несанкционированный доступ к чувствительным областям системы. Мы также обнаружили, что они использовали специальный тип вредоносного ПО под названием Fudmodule для сокрытия своей деятельности от программ безопасности.”
BYOVD-атаки включают установку драйверов с известными уязвимостями на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто используют уязвимые драйверы сторонних производителей, таких как антивирусное ПО или оборудование, которые требуют повышенных привилегий для взаимодействия с ядром. Уязвимость AFD.sys особенно опасна, поскольку она установлена по умолчанию на всех устройствах Windows, что позволяет злоумышленникам выполнять свои атаки без необходимости установки старых уязвимых драйверов, которые могут быть заблокированы Windows и легко обнаружены.
Группа хакеров Lazarus
Хотя Gen Digital не раскрыла конкретные детали относительно целей этой недавней атаки или временных рамок инцидентов, группа Lazarus имеет хорошо задокументированную историю атак на финансовые и криптовалютные компании в высокорисковых киберограблениях, часто для финансирования оружейных и киберинициатив правительства Северной Кореи. Их известность возросла после взлома Sony Pictures в 2014 году и глобальной атаки с использованием вымогательского ПО WannaCry в 2017 году, которая нарушила работу бизнеса по всему миру.
В апреле 2022 года правительство США связало группу Lazarus с кибератакой на Axie Infinity, результатом которой стала кража криптовалюты на сумму более 7 миллионов долларов. В ответ на их продолжающуюся злонамеренную деятельность правительство США предложило вознаграждение до миллиона долларов за информацию, которая могла бы помочь идентифицировать или найти этих хакеров из КНДР.