Gruparea cunoscută sub numele de Lazarus (cunoscută și sub numele de Hidden Cobra), cu afiliații nord-coreeni, este activ implicată în exploatarea unei vulnerabilități de tip Zero-Day în sistemul de operare Windows, cu scopul de a compromite datele utilizatorilor.
Vulnerabilitatea, identificată ca CVE-2024-21338, afectează driverul AppLocker al Windows (appid.sys).
Descriere:
Această vulnerabilitate permite atacatorilor să obțină acces la nivelul nucleului sistemului de operare și să dezactiveze instrumentele de securitate, evitând astfel detectarea prin tehnici BYOVD (Bring Your Own Vulnerable Driver).
Pentru a efectua atacuri mai subtile și pentru a consolida prezența pe sistemele compromise, se utilizează o versiune actualizată a rootkit-ului FudModule, cu îmbunătățiri semnificative în ceea ce privește exfiltrarea și funcționalitatea. Acesta include mecanisme pentru dezactivarea soluțiilor de securitate, cum ar fi Microsoft Defender, CrowdStrike Falcon și HitmanPro.
În prezent, gruparea Lazarus (cunoscută și sub numele de APT38, APT-C-26, ATK117, ATK3, Andariel, Appleworm, Bluenoroff, Bureau 121, COPERNICIUM, COVELLITE, Citrine Sleet, DEV-0139, DEV-1222, Dark Seoul, Diamond Sleet, G0032, G0082, Genie Spider, Group 77, Hastati Group, Labyrinth Chollima, NICKEL GLADSTONE, NewRomanic Cyber Army Team, Nickel Academy, Operation AppleJeus, Operation DarkSeoul, Operation GhostSecret, Operation Troy, Sapphire Sleet, Stardust Chollima, Subgroup: Bluenoroff, TA404, Unit 121, Whois Hacking Team, ZINC, Zinc), cunoscută pentru atacuri cu motivație financiară și afilierea sa cu Coreea de Nord, exploatează această vulnerabilitate.
Impact:
Compania multinațională cehă de securitate cibernetică, Avast, a descoperit și raportat această vulnerabilitate, care a fost ulterior remediată de Microsoft în cadrul actualizării Patch Tuesday din februarie 2024. Exploatarea acestei vulnerabilități implică manipularea avansată a obiectelor kernel și evidențiază o evoluție semnificativă a tehnicilor de atac. Aceasta marchează o tranziție de la exploatarea driverelor terțe vulnerabile la exploatarea vulnerabilităților zero-day în driverele native Windows. De asemenea, este demonstrată o capacitate crescută de exfiltrare și rezistență în fața eforturilor de detecție, însoțită de introducerea unui nou troian de acces la distanță (RAT) pentru a facilita controlul de la distanță al sistemelor compromise.
Potențialele efecte includ compromiterea integrității sistemului, pierderea confidențialității datelor și încălcarea securității proceselor critice. Acestea afectează direct organizațiile vizate și ridică preocupări majore în rândul comunității de securitate cibernetică.
Remediere:
Echipa Directoratului Național de Securitate Cibernetică (DNSC) recomandă aplicarea imediată a actualizărilor de securitate furnizate de Microsoft în cadrul actualizării Patch Tuesday din februarie 2024 pentru a reduce riscul de exploatare.
De asemenea, organizațiile sunt încurajate să revizuiască și să întărească politicile de securitate, să monitorizeze activitatea rețelei pentru indicatori de compromitere și să implementeze soluții avansate de detecție și răspuns.
Pentru consultarea listei de indicatori de compromitere, precum și pentru alte detalii tehnice ale vulnerabilității, se poate consulta acest material.
Reguli YARA
ioc/FudModule at master · avast/ioc · GitHub
Surse
Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day – Avast Threat Labs
Lazarus hackers exploited Windows zero-day to gain Kernel privileges (bleepingcomputer.com)
North Korean hackers exploit Windows zero-day flaw (therecord.media)
Telefon 1911
#DNSC #alert #cybersecurity #awareness
