**Лазарус снова в центре внимания: новая уязвимость Windows под угрозой**
Известная северокорейская хакерская группа Лазарус вновь оказалась в центре внимания, на этот раз из-за эксплуатации уязвимости нулевого дня в драйвере Windows AFD.sys. Эта уязвимость позволила им повысить привилегии и установить руткит FUDModule на целевых системах, что вызвало серьезные опасения в сообществе кибербезопасности.
Microsoft устранила эту уязвимость, обозначенную как CVE-2024-38193, в рамках августовского обновления Patch Tuesday 2024 года, наряду с семью другими уязвимостями нулевого дня. Уязвимость классифицируется как «Bring Your Own Vulnerable Driver» (BYOVD), что означает, что злоумышленники могут использовать известные уязвимости в драйверах для получения несанкционированного доступа к чувствительным областям системы.
Драйвер AFD.sys, который служит точкой входа в ядро Windows для протокола Winsock, был идентифицирован исследователями из Gen Digital. Они сообщили, что группа Лазарус использовала эту уязвимость для установки руткита FUDModule, сложного вредоносного ПО, разработанного для уклонения от обнаружения путем отключения функций мониторинга Windows. «В начале июня Луиджино Камастра и Миланек обнаружили, что группа Лазарус эксплуатировала скрытую уязвимость в важной части Windows, называемой драйвером AFD.sys,» предупредила Gen Digital. «Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы. Мы также обнаружили, что они использовали специальный тип вредоносного ПО под названием FUDModule для сокрытия своей деятельности от программ безопасности.»
Атаки BYOVD включают установку драйверов с известными уязвимостями на целевые машины, которые затем эксплуатируются для получения привилегий уровня ядра. Злоумышленники часто используют сторонние драйверы, такие как драйверы антивирусного ПО или оборудования, которые требуют повышенных привилегий для взаимодействия с ядром. Уязвимость AFD.sys особенно опасна, поскольку она установлена по умолчанию на всех устройствах Windows, что позволяет злоумышленникам выполнять свои атаки без необходимости установки старых, уязвимых драйверов, которые могут быть заблокированы Windows и легко обнаружены.
Хотя Gen Digital не раскрыла конкретные детали относительно целей этой недавней атаки или временных рамок инцидентов, группа Лазарус имеет хорошо задокументированную историю атак на финансовые и криптовалютные компании в высокорисковых киберограблениях, часто для финансирования оружейных и киберинициатив правительства Северной Кореи. Их известность возросла после взлома Sony Pictures в 2014 году и глобальной атаки вымогателя WannaCry в 2017 году, которая нарушила работу бизнеса по всему миру.
В апреле 2022 года правительство США связало группу Лазарус с кибератакой на Axie Infinity, результатом которой стала кража криптовалюты на сумму более 7 миллионов долларов. В ответ на их продолжающуюся злонамеренную деятельность правительство США предложило вознаграждение до миллиона долларов за информацию, которая могла бы помочь идентифицировать или найти этих хакеров из КНДР.
