A Lazarus néven ismert észak-koreai APT (Advanced Persistent Threat) csoport egy nemrégiben felfedezett sebezhetőséget használt ki a Windows AppLocker illesztőprogramjában (appid.sys) a kernel szintű hozzáférés megszerzéséhez és a biztonsági szoftverek letiltásához. Ez a sérülékenység, CVE-2024-21338 azonosítóval, nulladik napi hibaként van besorolva, ami azt jelenti, hogy a Microsoft nem volt tisztában a hibával a kihasználása előtt.
Az Avast kiberbiztonsági cég jelentése szerint a Lazarus a FudModule nevű rootkit frissített verziójában használta ki a hibát. A rootkit egy olyan szoftver, amely rejtve marad a rendszeren, és jogosulatlan hozzáférést biztosít a támadóknak. A FudModule új verziója továbbfejlesztett rejtőzködési és funkcionális képességekkel rendelkezik.
A támadás a Windows AppLocker komponensét célozza meg, amelynek feladata az alkalmazások engedélyezésének és tiltásának felügyelete a rendszeren. A Lazarus manipulálta az AppLocker illesztőprogramjában lévő Input and Output Control (IOCTL) funkciót egy tetszőleges pointer meghívására, ami arra kényszerítette a kernelet, hogy nem biztonságos kódot hajtson végre, megkerülve a biztonsági ellenőrzéseket.
A FudModule rootkit, amely ugyanabban a modulban van betöltve, mint a kihasználó kód, közvetlen kernelobjektum manipulációs (DKOM) műveleteket hajt végre a célzott biztonsági szoftverek letiltása, a rosszindulatú tevékenységek elrejtése és a fertőzött rendszeren való tartós jelenlét biztosítása érdekében. A támadás célpontjai között szerepel az AhnLab V3 Endpoint Security, a Windows Defender, a CrowdStrike Falcon és a HitmanPro.
A Lazarus támadása kiemeli a nulladik napi hibák jelentette komoly fenyegetést. A hatékony védekezéshez a felhasználóknak és a szervezeteknek a lehető leghamarabb telepíteniük kell a 2024. februári Patch Tuesday frissítéseket, amelyek javítják a CVE-2024-21338 sebezhetőséget. Ezenkívül javasolt a YARA szabályok használata a FudModule rootkit legújabb verziójához kapcsolódó tevékenység észleléséhez.
