A Lazarus néven ismert észak koreai APT csoport nulladik napi hibaként használ ki egy sérülékenységet a Windows AppLocker illesztőprogramjában (appid.sys) kernel szintű hozzáférés szerzéshez és a biztonsági eszközök kikapcsolásához. Ez lehetővé teszi a BYOVD (Bring Your Own Vulnerable Driver) technikák megkerülését.
Az Avast jelentése szerint a Lazarus a CVE-2024-21338-at a FudModule rootkit frissített változatában egy olvasható/írható kernel primitív létrehozására használta ki. Korábban a rootkit egy Dell illesztőprogrammal élt vissza BYOVD támadásokhoz.
A FudModule új verziója jelentős fejlesztéseket tartalmaz a rejtőzködés és a funkcionalitás terén.
A kihasznált Microsoft „appid.sys” sebezhetőség egy Windows AppLocker komponens, amely az alkalmazások fehérlistázását biztosítja. Kihasználásához manipulálják az illesztőprogramban lévő Input and Output Controlt (IOCTL) egy tetszőleges pointer meghívásához, ezzel rászedve a kernelt a nem biztonságos kód végrehajtásához, így kerülve meg a biztonsági ellenőrzéseket.
A FudModule rootkit, amely ugyanabban a modulban épül fel, mint az exploit, közvetlen kernelobjektum manipulációs (DKOM) műveleteket hajt végre a biztonsági termékek kikapcsolása, a rosszindulatú tevékenységek elrejtése és a sérült rendszerben való perzisztencia fenntartása érdekében. A célzott biztonsági termékek az AhnLab V3 Endpoint Security, a Windows Defender, a CrowdStrike Falcon és a HitmanPro.
Az egyetlen hatékony biztonsági intézkedés a 2024. februári Patch Tuesday frissítések mielőbbi alkalmazása, mivel a Lazarus a Windows beépített illesztőprogramját használja ki, így a támadást különösen nehéz felderíteni és megállítani.
A FudModule rootkit legújabb verziójához kapcsolódó tevékenység észlelését segítő YARA szabályok itt találhatók.
