Lazarus Tarafından Rootkit Saldırısında Kullanılan Microsoft Zero Day


Microsoft, AppLocker uygulaması beyaz liste yazılımındaki sıfır gün açığını güncelledi, ancak Kuzey Kore devlet destekli Lazarus Grubu’nun bir rootkit siber saldırısı gerçekleştirmek için bu kusurdan yararlanabilmesinden önce değil.

Avast’tan araştırmacılar, CVE-2024-21338 kapsamında takip edilen Microsoft sıfır gün kusurunu keşfettiler ve bunun Lazarus’un yönetici-çekirdek sınırını geçmek için “FudModule” adı verilen özel rootkit kötü amaçlı yazılımının güncellenmiş bir sürümünü kullanmasına izin verdiğini açıkladılar. bir yeni rapor.

Sıfır gün, 13 Şubat’ta düzeltildi. Microsoft’un Şubat Yaması Salı güncellemesive Avast, bu istismarın ayrıntılarını 29 Şubat’ta yayınladı.

Avast analistleri, FudModule’un Microsoft Defender, Crowdstrike Falcon ve HitmanPro platformlarında bulunan korumalı işlem ışığı (PPL) işlemlerini askıya alan bir özellik de dahil olmak üzere yeni işlevlerle güçlendirildiğini bildirdi.

Daha öte, Lazarus Grubu öncekini bıraktı kendi savunmasız sürücünüzü getirin (BYOVD) taktiği Ekip, daha basit sıfır gün istismar yaklaşımını kullanarak yöneticiden çekirdeğe geçmenin mümkün olduğunu açıkladı.

Avast ayrıca yeni bir şey keşfetti Lazarus uzaktan erişim Truva Atı (RAT)Satıcı bunun hakkında daha fazla ayrıntıyı daha sonra açıklamayı taahhüt ediyor.

“Gerçi onların [Lazarus Group’s] Avast raporunda “özel taktik ve teknikler artık iyice tanınıyor, yine de zaman zaman beklenmedik teknik gelişmişlikleriyle bizi şaşırtmayı başarıyorlar” denildi. “FudModule rootkit’i, Lazarus’un elinde tuttuğu en karmaşık araçlardan birini temsil eden en son örnek olarak hizmet ediyor” onların cephaneliği.”





Source link