Észak-koreai hackerek nulladik napi Windows sérülékenységet kihasználva telepítettek rootkitet

A Gen Digital adott hírt arról, hogy észak-koreai hackerek szofisztikált technikával támadásokat hajtottak végre a Windows néhány hete patchelt AFD.sys driverének zero-day sebezhetőségét (CVE-2024-38193) kihasználva.

Az APT38 (más néven Lazarus, PUKCHONG vagy UNC4899) a SONY Pictures elleni támadással vált ismertté. A hacker kollektíváról tudható, hogy elsősorban az észak-koreai rezsim finanszírozásához indítanak kibertámadásokat, főképp pénzügyi ágazati szereplők ellen. (A leghírhedtebb APT csoportokról itt olvashat bővebben.)

Ezúttal brazil kriptovaluta szakértők voltak a célpontok, ami illeszkedik a Google TAG által azonosított trendhez, hogy a dél-amerikai ország ellen 2020 óta jelentősen megnőtt az APT aktivitás, ahogy az ország egyre nagyobb gazdasági tényezővé vált az elmúlt évek során.

A mostani hacker kampány során a támadók a közösségi oldalakon hamis PDF álláshirdetésekkel keresték meg a célpontokat, majd akik bekapták a csalit és válaszoltak a megkeresésre, egy kérdőív mellett egy kódolási teszt kitöltéséhez kaptak linket. Erről a linkről töltötték le a fertőzött Github project file-t, amivel a támadók a FUDModule nevű, rootkit-típusú kártevőt telepítették a rendszerre, kriptovaluta ellopására használva fel azt.

A szakértők felhívják a figyelmet arra, hogy a FUDModule-féle BYOVD (Bring Your Own Vulnerable Driver) típusú támadások – azaz a rendszeren már teleptett sérülékeny driverek elleni támadások nagyon hatékonyak lehetnek. A sérülékeny driverek monitorozásáról a Microsoft javaslatairól itt olvashat bővebben.

A sérülékenység további hét nulladik napi hiba mellett az augusztusi Microsoft frissítőcsomagban javításra került, erről Intézetünk nemrég riasztást is kiadott. Az eset jó példa arra, hogy miért kiemelten fontos az operációs rendszerek biztonsági frissítéseinek mielőbbi telepítése.

(bleepingcomputer.com)