Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Lazarus эксплуатирует 0day в Windows для установки руткита

20/08/24

Lazarus group-Aug-20-2024-10-46-28-4190-AM

Группировка Lazarus использовала уязвимость нулевого дня в драйвере Windows AFD.sys для повышения привилегий и установки руткита FUDModule, который отключает функции мониторинга Windows и позволяет скрывать вредоносную активность. Драйвер Windows AFD.sys используется для работы с протоколом Winsock и служит точкой входа в ядро операционной системы, пишет Securitylab.

Недостаток CVE-2024-38193 (оценка CVSS: 7.8) был устранен в рамках августовского Patch Tuesday. CVE-2024-38193 выделяется на фоне остальных тем, что позволяет провести атаку типа Bring Your Own Vulnerable Driver (BYOVD). В этом случае злоумышленники устанавливают на целевые системы драйверы с уязвимостями, чтобы затем использовать их для получения привилегий на уровне ядра.

Особая опасность уязвимости в AFD.sys заключается в том, что драйвер установлен по умолчанию на всех устройствах с Windows. Это позволяет хакерам атаковать системы, не прибегая к установке старых уязвимых драйверов, которые могут быть заблокированы и легко обнаружены защитными механизмами Windows. Таким образом, эксплуатация уязвимости становится менее заметной и более эффективной.

Впервые уязвимость обнаружила компания Gen Digital. Специалисты отметили, что группа Lazarus использовала ошибку для установки руткита FUDModule, который способен скрывать свои действия от средств защиты. Эксперты подчёркивают, что такие атаки представляют серьёзную угрозу для безопасности, так как они позволяют злоумышленникам получить несанкционированный доступ к критически важным областям системы.

Gen Digital не разглашает подробности о том, кто стал целью атаки и когда она произошла. Стоит отметить, что группа Lazarus уже использовала подобные методы в прошлом, эксплуатируя уязвимые драйверы appid.sys и dbutil_2_3.sys для установки FUDModule.

Темы:WindowsПреступленияLazarus GroupКНДР0Day-уязвимости
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...