Sjevernokorejski akteri prijetnji poznati kao Lazarus Group iskoristili su grešku u upravljačkom programu Windows AppLocker (appid.sys) kao zero-day za dobivanje pristupa na razini kernela i isključivanje sigurnosnih alata, dopuštajući im da zaobiđu bučni BYOVD (Bring Your Own Vulnerable Tehnike vozača.
Ovu su aktivnost otkrili analitičari Avasta, koji su je odmah prijavili Microsoftu, što je dovelo do popravka greške, koja se sada prati kao CVE-2024-21338, kao dio zakrpe za veljaču 2024. u utorak. Međutim, Microsoft nije označio grešku kao iskorištenu kao nulti dan.
Avast izvješćuje da je Lazarus iskoristio CVE-2024-21338 za stvaranje primitive kernela za čitanje/pisanje u ažuriranoj verziji svog FudModule rootkita, koji je ESET prvi dokumentirao krajem 2022. Prethodno je rootkit zlorabio Dell upravljački program za BYOVD napade.
Nova verzija FudModulea ima značajna poboljšanja u nevidljivosti i funkcionalnosti, uključujući nove i ažurirane tehnike za izbjegavanje otkrivanja i isključivanje sigurnosnih zaštita kao što su Microsoft Defender i CrowdStrike Falcon.
Štoviše, preuzimanjem većeg dijela lanca napada, Avast je otkrio prethodno nedokumentiranog trojanca s daljinskim pristupom (RAT) kojeg je koristio Lazarus, o kojem je sigurnosna tvrtka obećala podijeliti više detalja na BlackHat Asia u travnju.
Lazarus 0-dnevna eksploatacija
Zlonamjerni softver iskoristio je ranjivost u Microsoftovom ‘appid.sys’ upravljačkom programu, Windows AppLocker komponenti koja pruža mogućnosti stavljanja aplikacija na popis dopuštenih aplikacija.
Lazarus ga iskorištava manipulirajući dispečerom kontrole ulaza i izlaza (IOCTL) u upravljačkom programu appid.sys da pozove proizvoljni pokazivač, varajući kernel da izvrši nesigurni kod, zaobilazeći tako sigurnosne provjere.
Izravni sistemski pozivi korišteni u eksploataciji
Izravni sistemski pozivi korišteni u eksploataciji (Avast)
FudModule rootkit, izgrađen unutar istog modula kao i eksploatacija, izvršava operacije izravne manipulacije objektom jezgre (DKOM) kako bi isključio sigurnosne proizvode, sakrio zlonamjerne aktivnosti i održao postojanost na probijenom sustavu.
Ciljani sigurnosni proizvodi su AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon i HitmanPro anti-malware rješenje.
Avast je primijetio nove prikrivene značajke i proširene mogućnosti u novoj verziji rootkita, poput mogućnosti da se sumnja na procese zaštićene Protected Process Light (PPL) manipuliranjem unosa tablice ručica, selektivnim i ciljanim prekidima putem DKOM-a, poboljšanjima u petljanju s Driver Signature Enforcement i Secure Čizma, i više.
Avast primjećuje da ova nova taktika iskorištavanja označava značajnu evoluciju u mogućnostima pristupa jezgri aktera prijetnje, dopuštajući mu da pokrene prikrivenije napade i ustraje na kompromitiranim sustavima dulje vrijeme.
Glavna funkcija Rootkita izvršavanje pojedinačnih tehnika
Glavna funkcija Rootkita izvršavanje pojedinačnih tehnika (Avast)
Jedina učinkovita sigurnosna mjera je primijeniti ažuriranja zakrpe od utorka za veljaču 2024. što je prije moguće, jer Lazarusovo iskorištavanje ugrađenog upravljačkog programa za Windows čini napad posebno teškim za otkrivanje i zaustavljanje.
YARA pravila za pomoć braniteljima u otkrivanju aktivnosti povezanih s najnovijom verzijom FudModule rootkita mogu se pronaći ovdje.