Getty-afbeeldingen
Hackers die namens de Noord-Koreaanse overheid werkten, maakten misbruik van een zero-day-kwetsbaarheid in Windows die onlangs werd gepatcht om aangepaste malware te installeren die uiterst onopvallend en geavanceerd is, meldden onderzoekers maandag.
De kwetsbaarheid, bijgehouden als CVE-2024-38193, was een van de zes zero-days (dat wil zeggen kwetsbaarheden die bekend waren of actief werden uitgebuit voordat een leverancier een patch had) die afgelopen dinsdag werd opgelost in de maandelijkse update van Microsoft. Microsoft zei dat de kwetsbaarheid (in een klasse die bekend staat als “use after free”) zich bevindt in AFD.sys, een binair bestand voor wat bekend staat als de Helper Functions Driver en het toegangspunt van de kernel voor de Winsock API. Microsoft waarschuwde dat de zero-day kan worden gebruikt om aanvallers systeemrechten te geven, de maximale systeemrechten die beschikbaar zijn in Windows en de noodzakelijke status om niet-vertrouwde code uit te voeren.
Lazarus krijgt toegang tot de Windows-kernel
Microsoft waarschuwde destijds dat er actief misbruik werd gemaakt van de kwetsbaarheid, maar gaf geen details over wie er achter de aanval zat of wat hun uiteindelijke doel was. Maandag zeiden onderzoekers van Geno – het beveiligingsbedrijf dat de aanvallen ontdekte en deze privé aan Microsoft rapporteerde – dat de dreigingsactoren deel uitmaakten van Lazarus, de naam die onderzoekers gebruiken om een hackgroep op te sporen die wordt gesteund door de Noord-Koreaanse regering.
“Door de kwetsbaarheid konden aanvallers de normale beveiligingsbeperkingen omzeilen en toegang krijgen tot gevoelige systeemgebieden die de meeste gebruikers en beheerders niet kunnen bereiken”, melden Gen-onderzoekers. “Dit type aanval is zowel geavanceerd als vindingrijk en kan op de zwarte markt mogelijk enkele honderdduizenden dollars kosten. Dit is zorgwekkend omdat het zich richt op individuen in gevoelige domeinen, zoals degenen die in de cryptocurrency-engineering of de ruimtevaart werken om toegang te krijgen tot de netwerken van hun werkgevers en cryptocurrencies te stelen om de activiteiten van aanvallers te financieren.”
Op de blog van maandag stond dat Lazarus een exploit gebruikt om FudModule te installeren, een geavanceerd stukje malware dat in 2022 werd ontdekt en geanalyseerd door onderzoekers van twee afzonderlijke beveiligingsbedrijven: AhnLab en ESET. Vernoemd naar het FudModule.dll-bestand dat aanwezig was in de exporttabel, is FudModule een type malware dat bekend staat als rootkit. Het viel op door zijn vermogen om robuust te werken in de diepste uithoeken van Windows, een gebied dat toen en nu nog niet algemeen werd begrepen. Dankzij deze mogelijkheid kon FudModule de bewaking door interne en externe veiligheidsverdediging uitschakelen.
Rootkits zijn stukjes kwaadaardige software die de mogelijkheid hebben om hun bestanden, processen en andere interne functies voor het besturingssysteem zelf te verbergen en tegelijkertijd de diepste niveaus van het besturingssysteem te controleren. Om te kunnen werken, moeten rootkits eerst systeemrechten verkrijgen en rechtstreeks communiceren met de kernel, een gebied van het besturingssysteem dat is gereserveerd voor de meest gevoelige functies. De door AhnLabs en ESET ontdekte FudModule-varianten werden geïnstalleerd met behulp van een techniek genaamd “bring your own vulnerability driver”, waarbij een legitiem stuurprogramma met bekende kwetsbaarheden wordt geïnstalleerd om toegang te krijgen tot de kernel.
Eerder dit jaar ontdekten onderzoekers van beveiligingsbedrijf Avast een nieuwere variant van FudModule die belangrijke Windows-verdedigingen zoals Endpoint Detection and Response en Protected Process Light omzeilde. Het kostte Microsoft zes maanden nadat Avast het beveiligingslek privé had gemeld om het te repareren, een vertraging waardoor Lazarus het kon blijven gebruiken.
Terwijl Lazarus “bring your own vulnerability driver” gebruikte om eerdere versies van FudModule te installeren, installeerden leden van de groep een variant die door Avast was ontdekt door misbruik te maken van een fout in appid.sys, de driver die de Windows AppLocker-service mogelijk maakt, die vooraf is geïnstalleerd in Windows. Avast-onderzoekers zeiden destijds dat de Windows-kwetsbaarheid die bij deze aanvallen werd uitgebuit de heilige graal voor hackers vertegenwoordigde, omdat deze rechtstreeks in het besturingssysteem was ingebakken in plaats van te moeten worden geïnstalleerd vanaf een externe bron.
Het conglomeraat, waartoe onder meer de merken Norton, Norton Lifelock, Avast en Avira behoren, heeft Gen geen kritische details verstrekt, waaronder wanneer Lazarus CVE-2024-38193 begon te exploiteren, hoeveel organisaties het doelwit waren en of de nieuwste FudModule-variant wordt gedetecteerd door elke eindpuntbeschermingsservice. Er is ook geen sprake van een compromis. Vertegenwoordigers van het bedrijf reageerden niet op e-mails.