黑客组织Lazarus成功利用CVE-2024-21338漏洞在Windows系统上获取内核权限,禁用安全软件。他们通过0day驱动攻击和FudModulerootkit工具,提升了攻击的复杂性和隐蔽性。Lazarus的技术能力升级和跨平台攻击行为引起关注。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
臭名昭著的黑客组织 Lazarus 利用最近修复的Windows Kernel 0day 获得内核级别的访问权限并禁用受陷主机上的安全软件。
该漏洞是CVE-2024-21338(CVSS评分7.8),它可导致攻击者获得系统权限,已由微软在2月补丁星期二中修复。微软指出,“要利用该漏洞,攻击者受陷必须登录系统,之后运行一个特殊构造的应用利用该漏洞并控制受影响系统。”
虽然在发布更新时并未有迹象表明CVE-2024-21338已遭活跃利用,但微软在周三将漏洞的“可利用性评估”改为“检测到利用”。目前尚不清楚攻击何时发生,但据悉该漏洞在 Windows 10 1703 (RS2/15063) 版本中引入,而也是在该版本中首次实现了 0x22A018 IOCTL(输入/输出控制)句柄。
Avast 公司发现了该漏洞的在野 admin-to-kernel 利用,表示通过武器化该漏洞实现内核读/写原语可使 Lazarus 组织“在仅数据的 FudModule rootkit的更新版本中执行直接的内核对象操纵。”
FudModule rootkit 由ESET 和 AhnLab 公司首次在2022年10月报告,它能够通过 BYOVD 攻击禁止对受感染主机上的所有安全解决方案进行监控。在这类攻击中,攻击者植入易受已知的或0day漏洞攻击的驱动来提升权限。
最近发生的攻击活动之所以影响重大是因为它“利用已知安装在目标机器上的驱动中的 0day,超过了 BYOVD的范畴”。该驱动是 appid.sys,它对于负责应用控制的 Windows 组件 AppLocker 的运行至关重要。
Lazarus 组织利用 CVE-2024-21338执行任意代码的方式绕过了所有安全检测并运行了 FudModule rootkit。安全研究员 Jan Vojtěšek 表示该恶意软件仍在活跃开发状态,“FudModule 仅松散地集成到 Lazarus 恶意软件生态系统中,Lazarus 对于使用该 rootkit 非常谨慎,仅在适当情况下按需部署。”
除了禁用系统记录器绕过检测外,FudModule 还关闭了具体的安全软件如 AhnLab V3 Endpoint Security、CrowdStrike Falcon、HitmanPro 和微软 Defender Antivirus。
这一攻击说明朝鲜黑客组织的技术复杂度上了一个台阶,它不断迭代武器库以改进隐秘性和功能,同时阻止检测,为追踪增加难度。而Lazarus 组织对跨平台的关注点也得到了证实:它利用一个恶意日历会议邀请链接偷偷在苹果 macOS 系统上安装恶意软件。
Vojtěšek 表示,“Lazarus 组织仍然是最为多产和长久的APT组织。FudModule rootkit就是最新的证明,是它武器库中最为复杂的工具之一。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
微软:Lazarus 黑客组织发动供应链攻击,攻陷 CyberLink 公司
GitHub 提醒 Lazarus 黑客组织利用恶意项目攻击开发人员
人设倒了扶起来:Lazarus 组织利用含木马的IDA Pro 攻击研究员
原文链接
https://thehackernews.com/2024/02/lazarus-hackers-exploited-windows.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
842
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
