De beruchte Noord-Koreaanse hackgroep Lazarus maakte misbruik van een kwetsbaarheid in het Windows AFD.sys-stuurprogramma om de bevoegdheden te verhogen en de FUDModule-rootkit op gerichte systemen te installeren.
Microsoft heeft de fout verholpen, die werd gevolgd als CVE-2024-38193 tijdens Patch Tuesday van augustus 2024, samen met zeven andere kwetsbaarheden.
CVE-2024-38193 is Neem uw eigen risicochauffeur mee (BYOVD) Kwetsbaarheid in de Windows add-on driver voor WinSock (AFD.sys), die draait als Toegangspunt tot de Windows-kernel voor het Winsock-protocol.
De fout werd ontdekt door onderzoekers van Gen Digital, die zeggen dat hackgroep Lazarus de AFD.sys-fout heeft uitgebuit als een “zero-day” -installatie Rootkit FUDModulewordt het gebruikt om detectie te omzeilen door de Windows-bewakingsfuncties uit te schakelen.
“Begin juni ontdekten Luigino Camastra en Milanek dat de Lazarus Group misbruik maakte van een verborgen kwetsbaarheid in een kernonderdeel van het Windows-besturingssysteem, genaamd de AFD.sys-driver,” Gen Digital waarschuwde.
“Door deze fout konden ze ongeautoriseerde toegang krijgen tot gevoelige delen van het systeem. We ontdekten ook dat ze een speciaal type malware gebruikten, Fudmodule genaamd, om hun activiteiten voor beveiligingssoftware te verbergen.”
Bring Your Own Vulnerable Driver-aanvallen vinden plaats wanneer aanvallers stuurprogramma’s met bekende kwetsbaarheden op gerichte apparaten installeren, die vervolgens worden misbruikt om privileges op kernelniveau te verkrijgen. Bedreigingsactoren maken vaak misbruik van stuurprogramma’s van derden, zoals antivirussoftware of apparaatstuurprogramma’s, waarvoor verhoogde bevoegdheden nodig zijn om met de kernel te kunnen communiceren.
Wat dit beveiligingslek nog gevaarlijker maakt, is dat het beveiligingslek zich bevond in AFD.sys, een stuurprogramma dat standaard op alle Windows-apparaten wordt geïnstalleerd. Hierdoor konden daders van bedreigingen dit soort aanvallen uitvoeren zonder een ouder, kwetsbaarder stuurprogramma te hoeven installeren dat mogelijk door Windows werd geblokkeerd en gemakkelijk kon worden gedetecteerd.
De Lazarus Group misbruikte eerder Windows appid.sys en Dell dbutil_2_3.sys kerneldrivers bij BYOVD-aanvallen om FUDModule te installeren.
Lazarus-hackgroep
Hoewel Gen Digital geen details heeft gedeeld over wie het doelwit was van de aanval en wanneer de aanvallen plaatsvonden, is het bekend dat Lazarus zich richt op financiële bedrijven en cryptocurrency-bedrijven in cyberovervallen ter waarde van meerdere miljoenen dollars die worden gebruikt om de wapens en cybersoftware van de Noord-Koreaanse overheid te financieren.
De groep verwierf daarna bekendheid Sony Pictures-hack uit 2014 en de wereldwijde WannaCry-ransomwarecampagne in 2017 die bedrijven over de hele wereld versleutelde.
In april 2022 koppelde de Amerikaanse regering de Lazarus Group aan een cyberaanval op Axie Infinity, waardoor bedreigingsactoren meer dan 617 miljoen dollar aan cryptocurrency konden stelen.
De Amerikaanse regering heeft een beloning van maximaal 5 miljoen dollar uitgeloofd voor informatie over de kwaadaardige activiteiten van Noord-Koreaanse hackers om hen te helpen identificeren of lokaliseren.
“Subtly charming TV maven. Unapologetic communicator. Troublemaker. Travel scientist. Wannabe thinker. Music fanatic. Amateur explorer.”