Nhóm Lazarus nổi tiếng đã khai thác một lỗ hổng tăng quyền vừa được vá trong Windows Kernel dưới dạng zero-day để có quyền truy cập cấp kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập.
Với mã định danh là CVE-2024-21338 (điểm CVSS: 7.8), có thể cho phép một kẻ tấn công có được quyền hệ thống. Nó đã được giải quyết bởi Microsoft vào đầu tháng này như một phần của các bản cập nhật Patch Tuesday.
Microsoft cho biết: “Để khai thác lỗ hổng này, một kẻ tấn công sẽ phải đăng nhập vào hệ thống trước. Sau đó, kẻ tấn công có thể chạy một ứng dụng được tạo ra đặc biệt có thể khai thác lỗ hổng và kiểm soát một hệ thống bị ảnh hưởng.”
Trong khi không có dấu hiệu của việc khai thác CVE-2024-21338 vào thời điểm phát hành các cập nhật, Redmond vào ngày thứ Tư đã sửa đổi “Đánh giá khả năng khai thác” cho lỗ hổng thành “Phát hiện khai thác.”
Chưa xác định được thời gian diễn ra cuộc tấn công, nhưng cho biết lỗ hổng trong Window 10, phiên bản 1703 (RS2/15063) khi bộ xử lý IOCTL 0x22A018 (viết tắt của kiểm soát nhập/xuất) được triển khai lần đầu.
Nhà cung cấp an ninh mạng Avast, người đã phát hiện một lỗ hổng admin-to-kernel, nói rằng nguyên tắc đọc/viết kernel được đạt được bằng cách vũ khí hóa lỗ hổng cho phép Nhóm Lazarus “thực hiện sửa đổi trực tiếp đối tượng kernel trong phiên bản cập nhật của rootkit FudModule chỉ chứa dữ liệu của họ.”
Rootkit FudModule lần đầu tiên được ESET và AhnLab báo cáo vào tháng 10 năm 2022 là có khả năng vô hiệu hóa tính năng giám sát tất cả các giải pháp bảo mật trên các máy chủ bị nhiễm bằng cách sử dụng một cuộc tấn công gọi là Bring Your Own Vulnerable Driver (BYOVD), trong đó một kẻ tấn công cài đặt một trình điều khiển dễ bị tấn công bởi lỗ hổng đã biết hoặc zero-day để nâng cao đặc quyền.
Điều làm cho cuộc tấn công mới đáng chú ý là nó đi “vượt qua BYOVD bằng cách khai thác một zero-day trong một trình điều khiển đã biết được cài đặt trên máy mục tiêu.” Trình điều khiển dễ bị tấn công đó là appid.sys, quan trọng đối với việc hoạt động của một thành phần Windows gọi là AppLocker chịu trách nhiệm cho kiểm soát ứng dụng.
Kỹ thuật tấn công trong thế giới thực được phát triển bởi Nhóm Lazarus liên quan đến việc sử dụng CVE-2024-21338 trong trình điều khiển appid.sys để thực thi mã tùy ý một cách bỏ qua tất cả các kiểm tra bảo mật và chạy rootkit FudModule.
Nhà nghiên cứu bảo mật Jan Vojtěšek cho biết: “FudModule chỉ được tích hợp lỏng lẻo vào phần còn lại của hệ sinh thái phần mềm độc hại của Lazarus và Lazarus rất cẩn thận trong việc sử dụng rootkit, chỉ triển khai nó theo yêu cầu trong những trường hợp phù hợp”.
Bên cạnh việc thực hiện các biện pháp để tránh bị phát hiện bằng cách vô hiệu hóa các trình ghi nhật ký hệ thống, FudModule được thiết kế để tắt các phần mềm bảo mật cụ thể như AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro, và Microsoft Defender Antivirus (Windows Defender).
“Nhóm Lazarus vẫn nằm trong số các nhóm đe dọa kiên trì tiên tiến và lâu dài nhất,” Vojtěšek nói. “Rootkit FudModule đóng vai trò là một ví dụ mới nhất, đại diện cho một trong những công cụ phức tạp nhất mà Lazarus sở hữu trong bộ sưu tập công cụ của họ.”
Vojtěšek cho biết: “Tập đoàn Lazarus vẫn là một trong những tác nhân đe dọa dai dẳng và phức tạp nhất, lâu đời nhất”. “Rootkit FudModule đóng vai trò là ví dụ mới nhất, đại diện cho một trong những công cụ phức tạp nhất mà Lazarus nắm giữ.”