研究人员本周一报告称,微软最近修补的Windows零日漏洞被代表朝鲜政府的黑客组织Lazarus Group利用,这样他们就可以安装异常隐蔽和先进的定制恶意软件。
该漏洞被追踪为CVE-2024-38193,是微软上周二发布的月度更新版本中修复的六个零日漏洞之一。零日(0day)漏洞指的是在供应商发布补丁之前已知或被主动利用的漏洞。微软表示,该漏洞属于“释放后使用”(use after free)类别,位于AFD.sys中,AFD.sys是辅助功能驱动程序的二进制文件,也是Winsock API的内核入口点。微软警告称,利用这个零日漏洞,攻击者可以获得系统权限,这是Windows系统的最大权限,也是执行不信任代码的必要条件。
Lazarus group正利用该0day漏洞获得Windows内核访问权限
微软当时警告称,该漏洞正被积极利用,但没有提供攻击幕后黑手的详细信息,也没有说明他们的最终目的是什么。周一,Gen(发现这些攻击并私下向微软报告的安全公司)的研究人员表示,威胁行为者是Lazarus group的成员,Lazarus是研究人员用来追踪朝鲜政府支持的黑客组织的名字。
Gen研究人员报告称:“该漏洞允许攻击者绕过正常的安全限制并访问大多数用户和管理员无法访问的敏感系统区域。”“这种攻击既复杂又狡猾,在黑市上可能价值数十万美元。这令人担忧,因为它针对敏感领域的个人,例如从事加密货币工程或航空航天工作的人,以获取雇主的网络访问权,并窃取加密货币为攻击者的行动提供资金。”
周一的博客文章称,Lazarus正在利用该漏洞安装FudModule,这是一款复杂的恶意软件,由两家不同的安全公司AhnLab和ESET的研究人员于2022年发现和分析。FudModule以曾经存在于其导出表中的FudModule.dll文件命名,是一种被称为rootkit的恶意软件。它因其能够在Windows最深处稳健地运行而脱颖而出,而这一领域当时和现在都未被广泛了解。这种能力使FudModule能够禁用内部和外部安全防御系统的监控。
Rootkit是一种恶意软件,它能够隐藏文件、进程和其他内部工作,不让操作系统发现,同时控制操作系统的最深层。要发挥作用,Rootkit必须首先获得系统权限,然后直接与内核交互,内核是操作系统中为最敏感功能保留的区域。AhnLabs和ESET发现的FudModule变体是使用一种称为“自带易受攻击的驱动程序”的技术安装的,该技术涉及安装具有已知漏洞的合法驱动程序以访问内核。
今年早些时候,安全公司Avast的研究人员发现了一个更新的FudModule变体,该变体可以绕过Windows的关键防御措施,例如端点检测和响应以及受保护进程灯。在Avast私下报告该漏洞后,微软花了六个月的时间才修复该漏洞,这一延迟让Lazarus得以继续利用它。
尽管Lazarus使用“自带易受攻击的驱动程序”来安装早期版本的FudModule,但该组织成员通过利用appid.sys中的一个漏洞安装了Avast发现的变体,appid.sys是启用Windows AppLocker服务的驱动程序,该服务是Windows预装的。Avast研究人员当时表示,在这些攻击中利用的Windows漏洞对黑客来说是一个圣杯,因为它直接嵌入到操作系统中,而不必从第三方来源安装。
Gen是一家由Norton、Norton Lifelock、Avast和Avira等品牌组成的企业集团,该公司未提供关键细节,包括Lazarus何时开始利用CVE-2024-38193、有多少企业成为攻击目标,以及最新的FudModule变种是否被任何端点保护服务检测到。
Lazarus是臭名昭著的黑客组织,对Axie Infinity Ronin Bridge黑客攻击、HarmonyBridge黑客事件、对日本进行的加密货币网络钓鱼、3CX的供应链攻击、对博彩平台Stake.com攻击事件等多起黑客事件负责。