لازاروس، گروه هکری مشهور کره شمالی، از آسیبپذیری در درایور AFD.sys ویندوز برای ارتقاء سطح دسترسی و نصب روتکیت FUDModule بر روی سیستمهای هدف سوءاستفاده کردند.
روت کیت (Rootkit) نوعی نرمافزار مخرب است که به صورت پنهانی در سیستم عامل یک کامپیوتر نصب میشود و به مهاجم اجازه میدهد تا به سیستم دسترسی پیدا کند و آن را کنترل کند. روت کیتها معمولاً برای دور زدن سیستمهای امنیتی و مخفی نگه داشتن فعالیتهای مخرب طراحی شدهاند.
مایکروسافت این آسیبپذیری که به عنوان CVE-2024-38193 شناخته میشود را در جریان بهروزرسانی آگوست 2024، همراه با هفت آسیبپذیری روز صفر دیگر برطرف کرده است.
آسیبپذیری روز صفر به نقص امنیتی در یک نرمافزار، سیستم عامل یا سختافزار گفته میشود که تا پیش از کشف عمومی و اطلاع توسعهدهندگان از آن، ناشناخته مانده است.
CVE-2024-38193 یک آسیبپذیری از نوع حملات BYOVD در درایور Ancillary Function و فایل AFD.sys ویندوز است. این درایور به عنوان نقطه ورودی به کرنل ویندوز برای پروتکل Winsock عمل میکند.
محققان شرکت Gen Digital این آسیبپذیری را کشف کرده و اعلام کردند که گروه لازاروس از این نقص برای نصب روتکیت FUDModule استفاده کردهاند. این روتکیت برای جلوگیری از شناسایی، ویژگیهای نظارتی ویندوز را غیرفعال میکند.
شرکت Gen Digital در این مورد توضیح داد:«در اوایل ژوئن، لوئیجینو کاماسترا و میلانک کشف کردند که گروه لازاروس از نقص امنیتی پنهانی در بخش حیاتی ویندوز به نام درایور AFD.sys سوءاستفاده میکنند.
این آسیبپذیری به آنها اجازه میدهد تا به بخشهای حساس سیستم بدون مجوز دسترسی پیدا کنند. همچنین ما متوجه شدیم که آنها از بدافزار خاصی به نام FUDModule برای پنهان کردن فعالیتهای خود از نرمافزارهای امنیتی استفاده کردهاند.»
حمله BYOVD زمانی رخ میدهد که مهاجمان یک درایور با آسیبپذیریهای شناخته شده را روی ماشینهای هدف نصب کرده و سپس از آن برای دستیابی تا سطح دسترسی کرنل سوءاستفاده میکنند. بازیگران تهدید اغلب از درایورهای ثالث مانند درایورهای آنتیویروس یا سختافزاری که نیاز به مجوزهای بالا برای تعامل با هسته دارند، سوءاستفاده میکنند.
آنچه این آسیبپذیری را خطرناک میکند این است که در درایور AFD.sys رخ داده، که بهطور پیشفرض بر روی همه دستگاههای ویندوز نصب شده است. این امر به مهاجمان اجازه میدهد تا این نوع حمله را بدون نیاز به نصب یک درایور قدیمی و آسیبپذیر که ممکن است توسط ویندوز مسدود شود و به راحتی شناسایی گردد، انجام دهند.
پیش از این، گروه لازاروس از درایورهای کرنل appid.sys ویندوز و dbutil_2_3.sys شرکت Dell در حملات BYOVD برای نصب FUDModule استفاده کرده بود.
شرکت Gen Digital جزئیاتی درباره اهداف یا زمان وقوع این حمله را به اشتراک نگذاشته است.
گروه هکری لازاروس
گروه لازاروس به خاطر هدف قرار دادن شرکتهای مالی و ارزهای دیجیتال در سرقتهای سایبری میلیون دلاری که معمولاً برای تأمین بودجه برنامههای سلاح و سایبری دولت کره شمالی استفاده میشود، شهرت دارد.
این گروه پس از هک تهدیدآمیز سونی پیکچرز در سال 2014 و کمپین جهانی باجافزار وانا کرای (WannaCry) در سال 2017 که کسبوکارها در سراسر جهان را تحت تأثیر قرار داد، شهرت جهانی پیدا کرد.
در آوریل 2022، آمریکا گروه لازاروس را به یک حمله سایبری به پلتفرم اکسی اینفینیتی مرتبط دانست که در آن مهاجمان سایبری بیش از 617 میلیون دلار ارز دیجیتال سرقت کردند.