Kötü şöhretli Kuzey Koreli Lazarus hack grubu, ayrıcalıkları yükseltmek ve Fudmodule rootkit'i hedeflenen sistemlere yüklemek için Windows AfD.SYS sürücüsünde sıfır gün bir kusurdan yararlandı.
Microsoft, Salı günü Ağustos 2024 yaması sırasında CVE-2024-38193 olarak izlenen kusuru düzeltti.
CVE-2024-38193, Winsock Protokolü için Windows çekirdeğine bir giriş noktası görevi gören Winsock (AfD.sys) için Windows Yardımcı Fonksiyon Sürücüsüne kendi savunmasız sürücünüzü (BYOVD) güvenlik açığınızı getirin.
Kusur, Lazarus Hacking Grubu'nun Windows izleme özelliklerini kapatarak tespitten kaçınmak için kullanılan Fudmodule rootkiti kurmak için AFD.sys kusurunu sıfır gün olarak kullandığını söyleyen Gen Digital araştırmacıları tarafından keşfedildi.
Gen Digital, "Haziran ayı başlarında Luigino Camastra ve Milanek, Lazarus grubunun Windows'un Afd.sys sürücüsü adı verilen önemli bir bölümünde gizli bir güvenlik kusurunu kullandığını keşfetti."
"Bu kusur, hassas sistem alanlarına yetkisiz erişim elde etmelerine izin verdi. Ayrıca, faaliyetlerini güvenlik yazılımından gizlemek için Fudmodule adlı özel bir kötü amaçlı yazılım kullandıklarını da keşfettik."
Kendi savunmasız sürücü saldırınızı getirin, saldırganların hedeflenen makinelerde bilinen güvenlik açıklarına sahip sürücüler yükledikleri ve daha sonra çekirdek seviyesi ayrıcalıkları elde etmek için kullanılmadığı zamandır. Tehdit aktörleri genellikle çekirdekle etkileşim kurmak için yüksek ayrıcalıklar gerektiren antivirüs veya donanım sürücüleri gibi üçüncü taraf sürücüleri kötüye kullanırlar.
Bu özel güvenlik açığını daha tehlikeli kılan şey, güvenlik açığının tüm Windows cihazlarına varsayılan olarak yüklenen bir sürücü olan AFD.SYS'de olmasıdır. Bu, tehdit aktörlerinin pencereler tarafından engellenebilecek ve kolayca tespit edilebilen daha eski, savunmasız bir sürücü kurmak zorunda kalmadan bu tür bir saldırı yürütmesine izin verdi.
Gen Digital, geçen hafta BleepingComputer'a saldırıyı Haziran ayında keşfettiklerini ve daha önce Google Tag tarafından açıklanan Brezilya'da bir kampanyayla ilgili olduğuna inandıklarını söyledi.
Google, Pukchong (UNC4899) olarak atfettikleri Kuzey Koreli bilgisayar korsanlarının, sonuçta kötü amaçlı yazılımın kurulmasına yol açan sahte iş fırsatlarına sahip Brazillian kripto para birimi profesyonellerini hedeflediklerini söylüyor.
Haziran Google Tag makalesi, "Kötü niyetli uygulamayı sunmak için Pukchong, sosyal medya aracılığıyla hedeflere ulaştı ve iyi bilinen bir kripto para firmasında iddia edilen bir iş fırsatı için iş tanımı içeren iyi huylu bir PDF gönderdi."
"Hedef faizle cevap verirse, Pukchong bir beceri anketi ve bir kodlama testini tamamlamak için talimatlar içeren ikinci bir iyi huylu PDF gönderdi. Talimatlar, kullanıcıları GitHub'da barındırılan bir projeyi indirmeye ve çalıştırmaya yönlendirdi."
"Proje, belirli koşullar yerine getirilirse ikinci aşama yükü almak için saldırgan kontrollü bir alana ulaşmak için değiştirilen kripto para fiyatlarını almak için truva atlı bir Python uygulamasıydı."
Lazarus Grubu ayrıca Windows Appid.sys ve Dell Dbutil_2_3.sys çekirdek sürücülerini Fudmodule yüklemek için diğer BYOVD saldırılarındaki kötüye kullandı.
Lazarus Hacking Grubu, Kuzey Kore hükümetinin silah ve siber programlarını finanse etmek için kullanılan milyon dolarlık siberheistlerde finansal ve kripto para firmalarını hedeflediği biliniyor.
Grup, 2014 Sony Pictures Blackmail Hack ve dünya çapında işletmeleri şifreleyen 2017 Global WannaCry Fidye Yazılımı kampanyasından sonra kötü şöhret kazandı.
Nisan 2022'de ABD hükümeti, Lazarus Grubu'nu, tehdit aktörlerinin 617 milyon dolardan fazla kripto para birimini çalmasına izin veren Axie Infinity'deki bir siber saldırıya bağladı.
ABD hükümeti, DPRK bilgisayar korsanlarının kötü niyetli faaliyetleri hakkında bunları tanımlamaya veya bulmaya yardımcı olmak için ipuçları için 5 milyon dolara kadar bir ödül sunuyor.
Güncelleme 8/20/24: Saldırı hakkında daha fazla bilgi eklendi.
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Telegram Zero-Day, video olarak kötü niyetli Android APK'ların gönderilmesine izin verdi
Windows MSHTML Sıfır Yazma Saldırılarında Bir Yıldan Boy Kullanılan Sıfır Gün
Microsoft Temmuz 2024 Patch Salı 142 Kusur, 4 Sıfır Gün
Github Enterprise Server Kritik Auth Bypass kusuruna karşı savunmasız
Kaynak: Bleeping Computer