ADVERTISEMENT
微軟最近修補了一個Windows零時漏洞,該漏洞先前被北韓政府支持的駭客利用來安裝極其隱蔽和先進的自定義惡意軟體。
這個漏洞的編號為CVE-2024-38193,是微軟在上週二的月度更新中修復的六個零時漏洞之一。所謂零時漏洞,指的是在供應商發表修補程式之前已知或被積極利用的漏洞。微軟表示,這個漏洞屬於「釋放後使用」(use after free)類型,位於AFD.sys中,這是輔助功能驅動程序的二進位檔案,也是Winsock API的核心入口點。微軟警告說,該零時漏洞可能被攻擊者利用來獲得系統權限,這是Windows中可用的最高系統權限,也是執行不受信任程式碼所需的狀態。
Lazarus獲得Windows核心存取權限
微軟當時警告說,該漏洞正在被積極利用,但沒有提供有關攻擊者身份或最終目標的細節。週一,Gen的研究人員(該安全公司發現了這些攻擊並私下向微軟報告)表示,威脅行為者是Lazarus的一部分,這是研究人員用來追蹤北韓政府支持的駭客組織的名稱。
Gen 的研究人員指出:「這個漏洞允許攻擊者繞過正常的安全限制,進入大多數使用者和管理員都無法觸及的敏感系統區域。」這種攻擊既複雜又需要技巧,在黑市上可能價值數十萬美元。這令人擔憂,因為它的目標是敏感領域的個人,例如加密貨幣工程或航空太空領域的人員,以便進入他們雇主的網路並竊取加密貨幣來資助攻擊者的行動。
週一的部落格文章指出,Lazarus 正在利用這個漏洞來安裝 FudModule,這是一種複雜的惡意軟體,由兩家獨立的安全公司的研究人員 AhnLab 和 ESET 在 2022 年發現並分析。FudModule 以其匯出表中曾經存在的 FudModule.dll 檔案命名,是一種稱為 rootkit 的惡意軟體。它以能夠在 Windows 最深處、最隱密的角落穩健地運作而著稱,這個領域在當時和現在都沒有被廣泛理解。這種能力允許 FudModule 禁用內部和外部安全防禦的監控。
Rootkit 是一種惡意軟體,它們能夠將自己的檔案、行程和其他內部運作隱藏在作業系統本身,同時控制作業系統的最深層級。為了運作,rootkit 必須首先獲得系統權限,然後直接與核心(作業系統中專為最敏感功能保留的區域)互動。 AhnLabs 和 ESET 發現的 FudModule 變種是使用一種稱為「內建易受攻擊驅動程式」的技術安裝的,該技術涉及安裝一個具有已知漏洞的合法驅動程式,以獲得對核心的存取權限。
今年稍早,安全公司 Avast 的研究人員發現了一個更新的 FudModule 變種,它繞過了 Windows 的關鍵防禦機制,如端點檢測和響應(EDR)和保護行程 Light(PPL)。儘管 Avast 已私下向微軟報告了此漏洞,但微軟卻花了六個月的時間才修復它,這段延遲讓 Lazarus 得以繼續利用該漏洞進行攻擊。
儘管 Lazarus 過去曾使用「內建易受攻擊驅動程式」的方式來安裝舊版的 FudModule,但這次他們安裝 Avast 發現的新變種 FudModule,則是利用了 appid.sys(一個啟用 Windows AppLocker 服務的驅動程式,預先安裝在 Windows 中)的一個漏洞。Avast 的研究人員當時表示,在這些攻擊中被利用的 Windows 漏洞對駭客來說猶如聖杯,因為它直接內建在作業系統中,駭客不需要從第三方來源安裝任何東西就能加以利用。
Gen 是一家由 Norton、Norton Lifelock、Avast 和 Avira 等品牌組成的集團,但他們並未提供關鍵細節,包括 Lazarus 何時開始利用 CVE-2024-38193 漏洞、有多少組織成為攻擊目標,以及最新的 FudModule 變種是否被任何端點保護服務檢測到。此外,也沒有任何入侵指標。該公司的代表沒有回覆電子郵件。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!