Avast’taki güvenlik araştırmacıları, kötü şöhretli Kuzey Koreli hacker grubu Lazarus’un, hedeflenen sistemlere çekirdek düzeyinde erişim sağlamak için Windows AFD.sys sürücüsündeki daha önce bilinmeyen bir sıfır günlük güvenlik açığını kullandığına dair kanıtlar ortaya çıkardı.
CVE-2024-38193 olarak takip edilen güvenlik açığı Microsoft’a bildirildi ve şirketin Haziran 2024 Salı Yaması güncellemelerinin bir parçası olarak düzeltildi.
Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu olan kötü şöhretli Lazarus Group, hassas sistem alanlarına yetkisiz erişim elde etmek için bu açığı aktif olarak kullandı. Microsoft o zamandan beri bu güvenlik açığını gidermek için bir yama yayınladı ve bu güvenlik ihlalinin önemini vurguladı.
APT38 olarak da bilinen Lazarus Grubu, Kuzey Kore hükümeti tarafından desteklendiği düşünülen oldukça gelişmiş bir hacker topluluğudur. En az 2009’dan beri aktif olan grup, finans kurumları, hükümet birimleri ve işletmeler de dahil olmak üzere çok çeşitli endüstrileri hedef alan dünya çapında çok sayıda yüksek profilli siber saldırıya karışmıştır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Araştırmacılar Luigino Camastra ve Milanek, bu açığı ilk olarak Haziran ayının başlarında keşfettiler. Lazarus Group’un, gelişmiş dosya işlemlerini yönetmekten sorumlu olan Windows’un önemli bir bileşeni olan AFD.sys sürücüsünü kullandığını gözlemlediler.
Bu kusur, saldırganların güvenlik kısıtlamalarını aşmalarına ve onlara genellikle kullanıcılar ve yöneticiler için yasak olan sistem alanlarına erişim sağlamalarına olanak sağladı. Lazarus, faaliyetlerini gizlemek için güvenlik yazılımları tarafından tespit edilmekten etkili bir şekilde kaçınan Fudmodule adlı gizli bir kötü amaçlı yazılım kullandı.
Bu sıfır günlük güvenlik açığının istismarı, yüksek riskli endüstriler üzerindeki potansiyel etkisi nedeniyle özellikle endişe vericidir. Hedefler arasında, saldırganların ağlara sızmayı ve operasyonlarını finanse etmek için kripto paraları çalmayı amaçladığı kripto para mühendisliği ve havacılık sektörlerindeki profesyoneller yer alıyordu.
Bu saldırının karmaşık yapısı ve yüksek piyasa değeri, siber suçluların hassas alanları hedeflemedeki giderek artan becerikliliğini ortaya koyuyor.
Tehdide yanıt olarak Microsoft, Gen Threat Labs’ın proaktif çabaları sayesinde güvenlik açığını düzeltmek için bir yama yayınladı. Ekip, Microsoft’a ayrıntılı istismar kodu sağlayarak kusurun hızla çözülmesini sağladı.
Microsoft’a göre, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan SYSTEM ayrıcalıkları elde edebilir.”
Bu yama, Windows kullanıcılarını olası saldırılardan korumak için hayati önem taşıyor ve Microsoft, tüm kullanıcıları sürekli güvenliği sağlamak için sistemlerini derhal güncellemeye çağırıyor.
Siber tehditler gelişmeye devam ettikçe, bireyler ve kuruluşlar siber güvenlik önlemlerinde dikkatli ve proaktif olmalıdır. Düzenli sistem güncellemeleri ve olası güvenlik açıklarının farkında olmak, Lazarus Group tarafından düzenlenenler gibi karmaşık siber saldırılara karşı korunmada önemli adımlardır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces