Kötü şöhretli Lazarus Grubu aktörleri, çekirdek düzeyinde erişim elde etmek ve güvenliği ihlal edilmiş ana bilgisayarlarda güvenlik yazılımını devre dışı bırakmak için Windows Çekirdeğindeki yakın zamanda yamalı bir ayrıcalık yükseltme kusurunu sıfır gün olarak kullandı.
Söz konusu güvenlik açığı CVE-2024-21338 (CVSS puanı: 7,8) bir saldırganın SİSTEM ayrıcalıkları kazanmasına izin verebilir. Bu sorun, Salı Yaması güncellemelerinin bir parçası olarak bu ayın başlarında Microsoft tarafından çözüldü.
Microsoft, “Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sistemde oturum açması gerekir” dedi. “Bir saldırgan daha sonra güvenlik açığından yararlanabilecek ve etkilenen sistemin kontrolünü ele geçirebilecek özel hazırlanmış bir uygulamayı çalıştırabilir.”
Güncellemelerin yayınlandığı tarihte CVE-2024-21338’in aktif olarak kullanıldığına dair herhangi bir belirti olmamasına rağmen, Redmond Çarşamba günü kusur için “Kullanılabilirlik değerlendirmesini” “Kullanım Tespit Edildi” olarak revize etti.
Hatanın yöneticiden çekirdeğe açık bir şekilde açıklandığını keşfeden siber güvenlik tedarikçisi Avast, kusurun silah haline getirilmesiyle elde edilen çekirdek okuma/yazma ilkelinin Lazarus Grubuna “güncellenmiş bir sürümde doğrudan çekirdek nesnesi manipülasyonu gerçekleştirmesine” olanak tanıdığını söyledi. yalnızca veri içeren FudModule rootkit’leri.”
FudModule kök kitinin ilk olarak Ekim 2022’de ESET ve AhnLab tarafından, Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı yoluyla, virüs bulaşmış ana bilgisayarlardaki tüm güvenlik çözümlerinin izlenmesini devre dışı bırakabildiği bildirildi. ayrıcalıkları yükseltmek için bilinen veya sıfır gün kusuru.
En son saldırıyı önemli kılan şey, “hedef makinede zaten yüklü olduğu bilinen bir sürücüdeki sıfır günü istismar ederek BYOVD’nin ötesine geçmesidir.” Bu duyarlı sürücü, uygulama kontrolünden sorumlu olan AppLocker adlı Windows bileşeninin çalışması için hayati önem taşıyan appid.sys sürücüsüdür.
Lazarus Grubu tarafından tasarlanan gerçek dünyadaki istismar, tüm güvenlik kontrollerini atlayacak ve FudModule rootkit’ini çalıştıracak şekilde rastgele kod yürütmek için appid.sys sürücüsünde CVE-2024-21338’i kullanmayı gerektiriyor.
Güvenlik araştırmacısı Jan Vojtěšek, kötü amaçlı yazılımın aktif geliştirme aşamasında olduğunu belirterek, “FudModule, Lazarus’un kötü amaçlı yazılım ekosisteminin geri kalanına yalnızca gevşek bir şekilde entegre edildi ve Lazarus, rootkit’i kullanma konusunda çok dikkatli, yalnızca doğru koşullar altında talep üzerine dağıtıyor.” dedi.
FudModule, sistem günlükçülerini devre dışı bırakarak tespitten kaçmaya yönelik adımlar atmanın yanı sıra, AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro ve Microsoft Defender Antivirus (eski adıyla Windows Defender) gibi belirli güvenlik yazılımlarını kapatmak üzere tasarlanmıştır.
Bu gelişme, Kuzey Koreli bilgisayar korsanlığı gruplarıyla ilişkili yeni bir teknik karmaşıklık düzeyine işaret ediyor ve gelişmiş gizlilik ve işlevsellik için cephaneliğini sürekli olarak yeniliyor. Aynı zamanda tespit edilmesini engellemek ve takiplerini daha da zorlaştırmak için kullanılan ayrıntılı teknikleri de göstermektedir.
Düşman kolektifin platformlar arası odağı, daha önce Aralık 2023’te SlowMist tarafından belgelenen bir kampanya olan Apple macOS sistemlerine gizlice kötü amaçlı yazılım yüklemek için sahte takvim toplantı daveti bağlantıları kullandığının gözlemlenmesiyle de örneklendiriliyor.
Vojtěšek, “Lazarus Grubu en üretken ve uzun süredir devam eden gelişmiş kalıcı tehdit aktörleri arasında olmayı sürdürüyor” dedi. “FudModule rootkit’i, Lazarus’un cephaneliğinde bulundurduğu en karmaşık araçlardan birini temsil eden en son örnek olarak hizmet ediyor.”