Уязвимость CVE-2024-38193, исправленная ранее в этом месяце, связанная с повышением привилегий и драйвером вспомогательных функций для WinSock в Windows (Ancillary Function Driver for WinSock), использовалась для атак хакерами из группировки Lazarus в качестве уязвимости нулевого дня.
CVE-2024-38193 относится к уязвимостям типа BYOVD (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»), а Ancillary Function Driver for WinSock (AFD.sys) выступает в роли точки входа в ядро Windows для протокола Winsock.
Ранее представители Microsoft предупреждали, что проблема уже активно эксплуатируется хакерами, однако не предоставили никаких подробностей о том, кто стоит за атаками или какова их конечная цель.
Как рассказывают теперь специалисты Gen Digital (ранее Symantec Corporation и NortonLifeLock), обнаружившие атаки на CVE-2024-38193 в июне, они считают, что вредоносная активность связана с кампанией в Бразилии, ранее замеченной экспертами Google TAG.
По словам исследователей, хакерская группа Lazarus использовала уязвимость AFD.sys в качестве 0-day для установки руткита FUDModule, который используется для уклонения от обнаружения путем отключения функций мониторинга Windows.
«Недостаток [AFD.sys] позволял атакующим получать несанкционированный доступ к важным областям системы. Кроме того, мы обнаружили, что они использовали специальный тип вредоносного ПО под названием FUDModule, чтобы скрыть свои действия от защитного ПО», — пишут исследователи.
BYOVD-атаки подразумевают, что злоумышленники устанавливают на целевые машины драйверы с известными уязвимостями, которые затем используются для получения привилегий на уровне ядра. Атакующие часто применяют для этого драйверы сторонних производителей, например, антивирусные или «железные» драйверы, которые требуют высоких привилегий для взаимодействия с ядром.
В данном случае ситуация усугубляется тем, что AFD.sys по умолчанию устанавливается на все устройства под управлением Windows. Это позволяет злоумышленникам проводить BYOVD-атаки без необходимости устанавливать свой, более старый и уязвимый драйвер, который может быть блокирован в Windows и легко обнаружен.
Отмечается, что ранее группировка Lazarus использовала для своих BYOVD-атак по установке руткита FUDModule и другие драйверы ядра Windows (appid.sys) и Dell (dbutil_2_3.sys).
В июне аналитики Google сообщали, что северокорейские хакеры, которых они обозначают как PUKCHONG (UNC4899), атакуют бразильских криптовалютных специалистов, предлагая им поддельные вакансии, что в конечном итоге приводит к установке малвари.
«Для доставки вредоносного приложения PUKCHONG связываются со своими целями через социальные сети и отправляют им безобидный файл PDF, содержащий описание вакансии в известной криптовалютной фирме, — рассказывали специалисты Google TAG в июне. — Если цель проявляла интерес, PUKCHONG отправляли второй безвредный PDF-файл с анкетой для определения навыков и инструкциями по прохождению тестового задания. Инструкции предписывали пользователям загрузить и запустить проект, размещенный на GitHub. Этот проект представлял собой Python-троян которой проверял курсы криптовалют и обращался контролируемому злоумышленниками домену для получения полезной нагрузки при выполнении определенных условий».
