De recente Windows zero day werd misbruikt door Lazarus, een hackersgroep gesteund door de Noord-Koreaanse overheid. Dit stelde hen in staat om geavanceerde malware te installeren.
Een Windows zero day (CVE-2024-38193) dat recent door Microsoft werd gepatcht zou misbruikt zijn door een hackersgroep die namens de Noord-Koreaanse overheid werkten. Dat ontdekten onderzoekers van Gen, het beveiligingsbedrijf dat de kwetsbaarheid opmerkte en meldde aan Microsoft. De zero day stelden deze kwaadwilligen in staat om aangepaste malware te installeren dat bekendstaat als rootkit, een type malware dat zich diep nestelt in het besturingssysteem. Deze geavanceerde malware zou zo’n honderdduizenden dollars kosten op de zwarte markt.
Lazarus
Microsoft gaf destijds een waarschuwing dat de kwetsbaarheid, die beschreven werd als CVE-2024-38193, actief werd misbruikt. Op dat moment gaf het bedrijf nog geen details over wie er achter de aanval zat en wat hun doel was. Onderzoekers van het beveiligingsbedrijf Gen ontdekten dat de kwaadwilligen deel uitmaakten van Lazarus, een hackersgroep die handelt in naam van de Noord-Koreaanse overheid.
lees ook
Kwetsbaarheid Microsoft-apps laat kwaadwilligen Mac-gebruikers bespioneren
“Begin juni ontdekten Luigino Camastra en Milanek dat de Lazarus-groep een verborgen beveiligingslek in een cruciaal onderdeel van Windows exploiteerde, genaamd de AFD.sys-driver. Dit lek stelde hen in staat om ongeautoriseerde toegang te krijgen tot gevoelige systeemgebieden. We ontdekten ook dat ze een speciaal type malware gebruikten, genaamd Fudmodule, om hun activiteiten te verbergen voor beveiligingssoftware”, aldus de onderzoekers in een blog.
Rootkit
‘FudModule’ is een type malware dat bekendstaat als rootkit, een type malware. De rootkit nestelt zich diep in het besturingssysteem en kan zijn bestanden, processen en andere interne werking verbergen voor het besturingssysteem zelf. Om ervoor te zorgen dat rootkits hun werk kunnen doen, moeten ze eerst systeemrechten verkrijgen en vervolgens rechtstreeks communiceren met de kernel, het gebied van een besturingssysteem dat bedoeld is voor de meest gevoelige functies.
De gebruikte rootkit ‘FudModule’, werd geïnstalleerd op basis van een techniek ‘bring your own vulnerable driver’, waarbij een legitieme driver met bekende kwetsbaarheden wordt geïnstalleerd om toegang te krijgen tot de kernel. “Dit type aanval is zowel geavanceerd als vindingrijk en kost mogelijk honderdduizenden dollars op de zwarte markt”, aldus de onderzoekers.
Microsoft bracht een patch uit om deze kwetsbaarheden te verhelpen. Het bedrijf raadt gebruikers aan om prioriteit te geven aan het updaten van hun systemen.