От нового способа взлома не помогают даже защитные механизмы.
Северокорейские хакеры Lazarus использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.
Аналитики Avast Для просмотра ссылки Войдиили Зарегистрируйся о деятельности хакеров компании Microsoft, что привело к устранению уязвимости ядра Windows, получившей обозначение Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.8) и связанной с повышением привилегий. Однако, Microsoft не классифицировала недостаток как 0day. Ошибка Для просмотра ссылки Войди или Зарегистрируйся в последнем обновлении Patch Tuesday в феврале.
Группа Lazarus использовала CVE-2024-21338 для создания примитива чтения/записи в ядре в обновленной версии своего руткита FudModule, Для просмотра ссылки Войдиили Зарегистрируйся ESET в конце 2022 года. Стоит отметить, что FudModule использует метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость в драйвере устройств. Недостаток развязывает киберпреступникам руки, открывая полный доступ к памяти ядра.
В новой версии FudModule внедрены значительные улучшения по скрытности и функциональности, включая новые методы обхода обнаружения и отключения защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.
Кроме того, Avast обнаружила ранее не задокументированный троян удаленного доступа (Remote Access Trojan, RAT ), используемый группировкой, о чем компания Для просмотра ссылки Войдиили Зарегистрируйся на конференции BlackHat Asia в апреле.
Метод эксплуатации включал манипулирование диспетчером ввода-вывода в драйвере appid.sys для вызова произвольного указателя, что позволяло обойти проверки безопасности. Руткит FudModule выполнял операции прямой манипуляции объектами ядра (Direct Kernel Object Manipulation, DKOM ) для отключения продуктов безопасности, скрытия злонамеренных действий и обеспечения устойчивости на зараженной системе.
Среди целей – продукты безопасности AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусное решение HitmanPro. Новая версия руткита обладает функциями скрытности и расширенными возможностями, включая способность приостанавливать защищенные процессы, выборочное и целенаправленное нарушение работы системы защиты.
Avast подчеркивает, что новая тактика эксплуатации свидетельствует о значительной эволюции способностей хакеров к скрытным атакам и удержанию контроля над компрометированными системами на длительный срок. Единственной эффективной мерой безопасности является своевременное применение обновлений, поскольку использование встроенного драйвера Windows делает атаку особенно сложной для обнаружения и пресечения.
Северокорейские хакеры Lazarus использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.
Аналитики Avast Для просмотра ссылки Войди
Группа Lazarus использовала CVE-2024-21338 для создания примитива чтения/записи в ядре в обновленной версии своего руткита FudModule, Для просмотра ссылки Войди
В новой версии FudModule внедрены значительные улучшения по скрытности и функциональности, включая новые методы обхода обнаружения и отключения защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.
Кроме того, Avast обнаружила ранее не задокументированный троян удаленного доступа (Remote Access Trojan, RAT ), используемый группировкой, о чем компания Для просмотра ссылки Войди
Метод эксплуатации включал манипулирование диспетчером ввода-вывода в драйвере appid.sys для вызова произвольного указателя, что позволяло обойти проверки безопасности. Руткит FudModule выполнял операции прямой манипуляции объектами ядра (Direct Kernel Object Manipulation, DKOM ) для отключения продуктов безопасности, скрытия злонамеренных действий и обеспечения устойчивости на зараженной системе.
Среди целей – продукты безопасности AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусное решение HitmanPro. Новая версия руткита обладает функциями скрытности и расширенными возможностями, включая способность приостанавливать защищенные процессы, выборочное и целенаправленное нарушение работы системы защиты.
Avast подчеркивает, что новая тактика эксплуатации свидетельствует о значительной эволюции способностей хакеров к скрытным атакам и удержанию контроля над компрометированными системами на длительный срок. Единственной эффективной мерой безопасности является своевременное применение обновлений, поскольку использование встроенного драйвера Windows делает атаку особенно сложной для обнаружения и пресечения.
- Источник новости
- www.securitylab.ru