Lazarus Hackerları, Son Saldırılarda Windows Çekirdek Kusurunu Sıfır Gün Olarak Kullandı
Lazarus Group, çekirdek düzeyinde erişim elde etmek ve güvenliği ihlal edilmiş ana bilgisayarlarda güvenlik yazılımını devre dışı bırakmak için Windows Çekirdeğinde yakın zamanda yamalanan bir ayrıcalık yükseltme kusurundan sıfır gün olarak yararlandı.
Söz konusu güvenlik açığı CVE-2024-21338'dir (CVSS puanı: 7.8), bir saldırganın SİSTEM ayrıcalıkları kazanmasına izin verebilir. Microsoft tarafından bu ayın başlarında Salı Yaması güncellemelerinin bir parçası olarak çözüldü.
Microsoft, "Bu güvenlik açığından yararlanmak için bir saldırganın önce sistemde oturum açması gerekir" dedi. "Bir saldırgan daha sonra güvenlik açığından yararlanabilecek ve etkilenen bir sistemin kontrolünü ele geçirebilecek özel hazırlanmış bir uygulama çalıştırabilir."
Güncellemelerin yayınlandığı sırada CVE-2024-21338'in aktif olarak kötüye kullanıldığına dair herhangi bir belirti bulunmamakla birlikte, Redmond Çarşamba günü kusur için "İstismar Edilebilirlik değerlendirmesini" "İstismar Tespit Edildi" olarak revize etti.
Saldırıların ne zaman gerçekleştiği şu anda belli değil, ancak güvenlik açığının 0x22A018 IOCTL (giriş/çıkış kontrolünün kısaltması) işleyicisi ilk kez uygulandığında Windows 10, sürüm 1703'te (RS2/15063) tanıtıldığı söyleniyor.
Hata için vahşi bir yöneticiden çekirdeğe istismar keşfeden siber güvenlik satıcısı Avast, kusuru silahlandırarak elde edilen çekirdek okuma/yazma ilkelinin Lazarus Group'un "yalnızca veri FudModule rootkit'inin güncellenmiş bir sürümünde doğrudan çekirdek nesnesi manipülasyonu gerçekleştirmesine" izin verdiğini söyledi.
FudModule rootkit'i ilk olarak ESET ve AhnLab tarafından Ekim 2022'de, bir saldırganın ayrıcalıkları yükseltmek için bilinen veya sıfır gün kusuruna duyarlı bir sürücüyü yerleştirdiği Kendi Güvenlik Açığı Sürücünüzü Getirin (BYOVD) saldırısı adı verilen bir saldırı yoluyla virüslü ana bilgisayarlardaki tüm güvenlik çözümlerinin izlenmesini devre dışı bırakabildiği bildirildi.
En son saldırıyı önemli kılan şey, "hedef makinede zaten yüklü olduğu bilinen bir sürücüdeki sıfır günden yararlanarak BYOVD'nin ötesine geçmesi"dir. Bu duyarlı sürücü, uygulama denetiminden sorumlu olan AppLocker adlı bir Windows bileşeninin çalışması için çok önemli olan appid.sys.
Lazarus Group tarafından tasarlanan gerçek dünya istismarı, tüm güvenlik kontrollerini atlayacak ve FudModule rootkit'i çalıştıracak şekilde rastgele kod yürütmek için appid.sys sürücüsünde CVE-2024-21338'in kullanılmasını gerektirir.
Güvenlik araştırmacısı Jan Vojtěšek, "FudModule, Lazarus'un kötü amaçlı yazılım ekosisteminin geri kalanına yalnızca gevşek bir şekilde entegre edilmiştir ve Lazarus, rootkit'i kullanma konusunda çok dikkatlidir, yalnızca doğru koşullar altında talep üzerine dağıtır" dedi ve kötü amaçlı yazılımı aktif olarak geliştirilmekte olarak nitelendirdi.
FudModule, sistem kaydedicileri devre dışı bırakarak algılamadan kaçınma adımları atmanın yanı sıra, AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro ve Microsoft Defender Antivirus (eski adıyla Windows Defender) gibi belirli güvenlik yazılımlarını kapatmak için tasarlanmıştır.
Geliştirme, Kuzey Koreli bilgisayar korsanlığı gruplarıyla ilişkili yeni bir teknik gelişmişlik düzeyine işaret ediyor ve gelişmiş gizlilik ve işlevsellik için cephaneliğini sürekli olarak yineliyor. Ayrıca, algılamayı engellemek ve izlemelerini çok daha zor hale getirmek için kullanılan ayrıntılı teknikleri de göstermektedir.
Düşman kolektifin platformlar arası odağı, daha önce Aralık 2023'te SlowMist tarafından belgelenen bir kampanya olan Apple macOS sistemlerine gizlice kötü amaçlı yazılım yüklemek için sahte takvim toplantısı davet bağlantılarının kullanılmasının gözlemlenmesi gerçeğiyle de örnekleniyor.
Vojtěšek, "Lazarus Group, en üretken ve uzun süredir devam eden gelişmiş kalıcı tehdit aktörleri arasında yer almaya devam ediyor" dedi. "FudModule rootkit, Lazarus'un cephaneliğinde bulunan en karmaşık araçlardan birini temsil eden en son örnek olarak hizmet ediyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı