CVE-2024-21338: как Lazarus используют драйверы Windows для создания бессмертного руткита

Северокорейские хакеры Lazarus использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.

Аналитики Avast выявили и сообщили о деятельности хакеров компании Microsoft, что привело к устранению уязвимости ядра Windows, получившей обозначение CVE-2024-21338 (оценка CVSS: 7.8) и связанной с повышением привилегий. Однако, Microsoft не классифицировала недостаток как 0day. Ошибка была исправлена в последнем обновлении Patch Tuesday в феврале.

Группа Lazarus использовала CVE-2024-21338 для создания примитива чтения/записи в ядре в обновленной версии своего руткита FudModule, впервые задокументированного ESET в конце 2022 года. Стоит отметить, что FudModule использует метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость в драйвере устройств. Недостаток развязывает киберпреступникам руки, открывая полный доступ к памяти ядра.

В новой версии FudModule внедрены значительные улучшения по скрытности и функциональности, включая новые методы обхода обнаружения и отключения защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.

Кроме того, Avast обнаружила ранее не задокументированный троян удаленного доступа (Remote Access Trojan, RAT ), используемый группировкой, о чем компания обещает рассказать подробнее на конференции BlackHat Asia в апреле.

Метод эксплуатации включал манипулирование диспетчером ввода-вывода в драйвере appid.sys для вызова произвольного указателя, что позволяло обойти проверки безопасности. Руткит FudModule выполнял операции прямой манипуляции объектами ядра (Direct Kernel Object Manipulation, DKOM ) для отключения продуктов безопасности, скрытия злонамеренных действий и обеспечения устойчивости на зараженной системе.

Среди целей – продукты безопасности AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусное решение HitmanPro. Новая версия руткита обладает функциями скрытности и расширенными возможностями, включая способность приостанавливать защищенные процессы, выборочное и целенаправленное нарушение работы системы защиты.

Avast подчеркивает, что новая тактика эксплуатации свидетельствует о значительной эволюции способностей хакеров к скрытным атакам и удержанию контроля над компрометированными системами на длительный срок. Единственной эффективной мерой безопасности является своевременное применение обновлений, поскольку использование встроенного драйвера Windows делает атаку особенно сложной для обнаружения и пресечения.