Il famigerato gruppo di hacker nordcoreano Lazarus ha sfruttato una vulnerabilità nel driver Windows AFD.sys per elevare i privilegi e installare il rootkit FUDModule sui sistemi presi di mira.
Microsoft ha corretto il difetto, che è stato tracciato come CVE-2024-38193 durante il Patch Tuesday di agosto 2024, insieme ad altre sette vulnerabilità.
CVE-2024-38193 è Porta il tuo autista a rischio (BYOVD) Vulnerabilità nel driver aggiuntivo di Windows per WinSock (AFD.sys), che viene eseguito come Punto di ingresso nel kernel di Windows per il protocollo Winsock.
La falla è stata scoperta dai ricercatori di Gen Digital, i quali affermano che il gruppo di hacker Lazarus ha sfruttato la falla AFD.sys come installazione “zero-day” Modulo FUD rootkitviene utilizzato per eludere il rilevamento disattivando le funzionalità di monitoraggio di Windows.
“All'inizio di giugno, Luigino Camastra e Milanek hanno scoperto che il Gruppo Lazarus stava sfruttando una vulnerabilità nascosta in una parte centrale del sistema operativo Windows chiamata driver AFD.sys.” La Gen Digital ha avvertito.
“Questa falla ha consentito loro di ottenere un accesso non autorizzato ad aree sensibili del sistema. Abbiamo anche scoperto che utilizzavano un tipo speciale di malware chiamato Fudmodule per nascondere le loro attività ai software di sicurezza.”
Gli attacchi Bring Your Own Vulnerable Driver si verificano quando gli aggressori installano driver con vulnerabilità note su dispositivi presi di mira, che vengono poi sfruttati per ottenere privilegi a livello di kernel. Gli autori delle minacce spesso sfruttano driver di terze parti, come software antivirus o driver di dispositivi, che richiedono privilegi elevati per interagire con il kernel.
Ciò che rende questa vulnerabilità ancora più pericolosa è che la vulnerabilità era in AFD.sys, un driver installato per impostazione predefinita su tutti i dispositivi Windows. Ciò ha consentito agli autori delle minacce di condurre questo tipo di attacco senza dover installare un driver più vecchio e più vulnerabile che potrebbe essere bloccato da Windows e rilevato facilmente.
Il gruppo Lazarus ha precedentemente utilizzato in modo improprio i driver del kernel Windows appid.sys e Dell dbutil_2_3.sys negli attacchi BYOVD per installare FUDModule.
Gruppo di hacker Lazarus
Sebbene Gen Digital non abbia condiviso dettagli su chi è stato preso di mira nell'attacco e quando si sono verificati gli attacchi, Lazarus è noto per prendere di mira società finanziarie e società di criptovaluta in rapine informatiche multimilionarie utilizzate per finanziare le armi e il software informatico del governo nordcoreano.
Il gruppo ha guadagnato fama dopo Hacking della Sony Pictures del 2014 e la campagna ransomware globale WannaCry nel 2017 che ha crittografato aziende in tutto il mondo.
Nell'aprile 2022, il governo degli Stati Uniti ha collegato il gruppo Lazarus a un attacco informatico su Axie Infinity che ha consentito agli autori delle minacce di rubare più di 617 milioni di dollari in criptovalute.
Il governo degli Stati Uniti ha offerto una ricompensa fino a 5 milioni di dollari per informazioni sulle attività dannose degli hacker nordcoreani per aiutarli a identificarli o localizzarli.
“Pensatore. Fanatico professionista di Twitter. Introverso certificato. Piantagrane. Esperto di zombi impenitente.”
