Kuzey Koreli bilgisayar korsanlarının, Microsoft’un bu ayın başlarında düzelttiği ve aktif olarak kullanılan bir sıfırıncı gün açığı olan CVE-2024-38193’ü hedeflerin bilgisayarlarına bir kök araç takımı yüklemek için kullandığını Gen Digital araştırmacıları ortaya çıkardı.
CVE-2024-38193 Hakkında
CVE-2024-38193, WinSock için Windows Yardımcı İşlev Sürücüsü’nde (AFD.sys).
Gen Digital araştırmacıları Luigino Camastra ve Milanek, Haziran 2024’ün başlarında Lazarus APT grubunun SİSTEM ayrıcalığını elde etmek için bu açığı kullandığını keşfetti; böylece “normal güvenlik kısıtlamalarını aşarak çoğu kullanıcının ve yöneticinin erişemediği hassas sistem alanlarına erişebiliyorlardı.”
Şirket, “Ayrıca faaliyetlerini güvenlik yazılımlarından gizlemek için FudModule adı verilen özel bir kötü amaçlı yazılım türü kullandıklarını da keşfettik” şeklinde teyit etti.
“Bu tür saldırılar hem karmaşık hem de beceriklidir ve karaborsada potansiyel olarak birkaç yüz bin dolara mal olabilir. Bu endişe vericidir çünkü kripto para mühendisliği veya havacılık gibi hassas alanlarda çalışan kişileri hedef alır ve işverenlerinin ağlarına erişip saldırganların operasyonlarını finanse etmek için kripto paraları çalar.”
Savunmasız sürücülerin istismar edilmesi
FudModule bir rootkit’tir; yani bir kez yüklendiğinde işletim sisteminin en derin seviyelerine (örneğin çekirdek) erişebilen, sistemde değişiklikler yapabilen ve yerel ve üçüncü taraf güvenlik çözümlerini devre dışı bırakabilen bir tür kötü amaçlı yazılımdır.
Lazarus grubu, hedeflere rootkit’leri şu yollarla ulaştırmasıyla tanınır:
Avast araştırmacıları bu yılın başlarında, “Bir saldırgan (…) yerleşik bir sürücüdeki sıfır günlük bir güvenlik açığını istismar etmeyi başarırsa, standart BYOVD istismarıyla eşleştirilemeyecek bir gizlilik düzeyiyle ödüllendirilecektir” açıklamasını yapmıştı.
“Böyle bir güvenlik açığından yararlanarak saldırgan bir anlamda herhangi bir özel sürücü getirme, bırakma veya yükleme ihtiyacı duymadan topraktan geçiniyor ve bu da çekirdek saldırısının gerçekten dosyasız olmasını mümkün kılıyor. Bu yalnızca çoğu tespit mekanizmasından kaçınmakla kalmıyor, aynı zamanda sürücü izin listesinin bulunduğu sistemlere saldırıyı da mümkün kılıyor.”
Potansiyel kurbanlar, rootkit ile yüklenip yüklenmediklerini ve Lazarus hackerları tarafından daha da tehlikeye atılıp atılmadıklarını nasıl kontrol edebilirler? Gen Digital bunu söylemiyor.
Daha fazla bilgi almak için şirketle iletişime geçtik ve kendilerinden geri dönüş alırsak bu yazıyı güncelleyeceğiz.