Lazarus黑客利用Windows内核0day发动攻击
2024-3-1 17:49:0 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

臭名昭著的黑客组织 Lazarus 利用最近修复的Windows Kernel 0day 获得内核级别的访问权限并禁用受陷主机上的安全软件。

该漏洞是CVE-2024-21338(CVSS评分7.8),它可导致攻击者获得系统权限,已由微软在2月补丁星期二中修复。微软指出,“要利用该漏洞,攻击者受陷必须登录系统,之后运行一个特殊构造的应用利用该漏洞并控制受影响系统。”

虽然在发布更新时并未有迹象表明CVE-2024-21338已遭活跃利用,但微软在周三将漏洞的“可利用性评估”改为“检测到利用”。目前尚不清楚攻击何时发生,但据悉该漏洞在 Windows 10 1703 (RS2/15063) 版本中引入,而也是在该版本中首次实现了 0x22A018 IOCTL(输入/输出控制)句柄。

Avast 公司发现了该漏洞的在野 admin-to-kernel 利用,表示通过武器化该漏洞实现内核读/写原语可使 Lazarus 组织“在仅数据的 FudModule rootkit的更新版本中执行直接的内核对象操纵。”

FudModule rootkit 由ESET 和 AhnLab 公司首次在2022年10月报告,它能够通过 BYOVD 攻击禁止对受感染主机上的所有安全解决方案进行监控。在这类攻击中,攻击者植入易受已知的或0day漏洞攻击的驱动来提升权限。

最近发生的攻击活动之所以影响重大是因为它“利用已知安装在目标机器上的驱动中的 0day,超过了 BYOVD的范畴”。该驱动是 appid.sys,它对于负责应用控制的 Windows 组件 AppLocker 的运行至关重要。

Lazarus 组织利用 CVE-2024-21338执行任意代码的方式绕过了所有安全检测并运行了 FudModule rootkit。安全研究员 Jan Vojtěšek 表示该恶意软件仍在活跃开发状态,“FudModule 仅松散地集成到 Lazarus 恶意软件生态系统中,Lazarus 对于使用该 rootkit 非常谨慎,仅在适当情况下按需部署。”

除了禁用系统记录器绕过检测外,FudModule 还关闭了具体的安全软件如 AhnLab V3 Endpoint Security、CrowdStrike Falcon、HitmanPro 和微软 Defender Antivirus。

这一攻击说明朝鲜黑客组织的技术复杂度上了一个台阶,它不断迭代武器库以改进隐秘性和功能,同时阻止检测,为追踪增加难度。而Lazarus 组织对跨平台的关注点也得到了证实:它利用一个恶意日历会议邀请链接偷偷在苹果 macOS 系统上安装恶意软件。

Vojtěšek 表示,“Lazarus 组织仍然是最为多产和长久的APT组织。FudModule rootkit就是最新的证明,是它武器库中最为复杂的工具之一。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击

微软:Lazarus 黑客组织发动供应链攻击,攻陷 CyberLink 公司

GitHub 提醒 Lazarus 黑客组织利用恶意项目攻击开发人员

微软:Lazarus 组织正在利用开源软件

人设倒了扶起来:Lazarus 组织利用含木马的IDA Pro 攻击研究员

原文链接
https://thehackernews.com/2024/02/lazarus-hackers-exploited-windows.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518970&idx=2&sn=ea8bb2c114507ab3f98fa4427698219b&chksm=ea94bb90dde332865dd9fda4c5f4e051fb6e7d411ca28b91a28207ce2369ec116626bad0b38a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh