Kötü şöhretli Kuzey Koreli Lazarus bilgisayar korsanı grubu, Windows AFD.sys sürücüsündeki sıfır günlük bir açığı kullanarak ayrıcalıkları yükseltti ve hedeflenen sistemlere FUDModule kök setini yükledi.
Microsoft, Ağustos 2024 Salı Yaması’nda CVE-2024-38193 olarak izlenen açığı ve yedi sıfır günlük güvenlik açığını daha giderdi.
CVE-2024-38193, Winsock protokolü için Windows Çekirdeğine giriş noktası görevi gören WinSock için Windows Yardımcı İşlev Sürücüsü’ndeki (AFD.sys) Kendi Güvenlik Açığını Getir (BYOVD) güvenlik açığıdır.
Söz konusu açığın Gen Digital araştırmacıları tarafından keşfedildiği belirtilirken, Lazarus hacker grubunun AFD.sys açığını, Windows izleme özelliklerini kapatarak tespit edilmekten kaçınmak için kullanılan FUDModule rootkit’ini yüklemek amacıyla sıfır günlük bir güvenlik açığı olarak kullandığı ifade edildi.
Gen Digital, “Haziran ayının başlarında Luigino Camastra ve Milanek, Lazarus grubunun Windows’un AFD.sys sürücüsü adı verilen önemli bir bölümündeki gizli bir güvenlik açığını istismar ettiğini keşfetti” uyarısında bulundu.
“Bu kusur, hassas sistem alanlarına yetkisiz erişim sağlamalarına olanak sağladı. Ayrıca, faaliyetlerini güvenlik yazılımlarından gizlemek için Fudmodule adlı özel bir kötü amaçlı yazılım türü kullandıklarını keşfettik.”
Bring Your Own Vulnerable Driver saldırısı, saldırganların hedeflenen makinelere bilinen güvenlik açıklarına sahip sürücüler yüklemesi ve ardından çekirdek düzeyinde ayrıcalıklar elde etmek için bu sürücülerin kullanılmasıdır. Tehdit aktörleri genellikle çekirdekle etkileşim kurmak için yüksek ayrıcalıklar gerektiren antivirüs veya donanım sürücüleri gibi üçüncü taraf sürücülerini kötüye kullanır.
Bu belirli güvenlik açığını daha tehlikeli hale getiren şey, güvenlik açığının tüm Windows aygıtlarında varsayılan olarak yüklenen bir sürücü olan AFD.sys’de olmasıdır. Bu, tehdit aktörlerinin Windows tarafından engellenebilecek ve kolayca tespit edilebilecek eski, güvenlik açığı olan bir sürücü yüklemek zorunda kalmadan bu tür saldırıları gerçekleştirmelerine olanak sağlamıştır.
Lazarus grubu daha önce BYOVD saldırılarında FUDModule’ü yüklemek için Windows appid.sys ve Dell dbutil_2_3.sys çekirdek sürücülerini kötüye kullanmıştı.
Lazarus hacker grubu
Gen Digital, saldırıda kimlerin hedef alındığı ve saldırıların ne zaman gerçekleştiğine dair ayrıntıları paylaşmazken, Lazarus’un Kuzey Kore hükümetinin silah ve siber programlarını finanse etmek için kullanılan milyon dolarlık siber soygunlarda finans ve kripto para şirketlerini hedef aldığı biliniyor.
Grup, 2014 yılında Sony Pictures’a yönelik şantaj saldırısı ve 2017 yılında dünya çapındaki işletmeleri şifreleyen WannaCry fidye yazılımı saldırısının ardından kötü bir üne kavuştu.
Nisan 2022’de ABD hükümeti, Lazarus grubunu, tehdit gruplarının 617 milyon dolar değerinde kripto para çalmasına olanak tanıyan Axie Infinity’ye yönelik bir siber saldırıyla ilişkilendirdi.
ABD hükümeti, Kuzey Kore’deki bilgisayar korsanlarının kötü niyetli faaliyetleri hakkında bilgi veren ve onları tespit edip yerlerini tespit etmeye yardımcı olanlara 5 milyon dolara kadar ödül vaat ediyor.