Lazarus Group ha sfruttato una vulnerabilitร zero-day nel driver AppLocker di Windows (appid.sys) per ottenere accesso a livello di kernel e disattivare gli strumenti di sicurezza. Questa attivitร รจ stata rilevata dagli analisti di Avast, che hanno prontamente segnalato il problema a Microsoft, portando alla correzione della vulnerabilitร , ora tracciata come CVE-2024-21338, come parte degli aggiornamenti di Patch Tuesday di febbraio 2024.
Lazarus ha sfruttato CVE-2024-21338 per creare un primitivo di lettura/scrittura a livello di kernel in una versione aggiornata del suo rootkit FudModule, documentato per la prima volta da ESET alla fine del 2022. La nuova versione di FudModule presenta miglioramenti significativi in termini di furtivitร e funzionalitร , inclusi nuovi metodi per evitare il rilevamento e disattivare le protezioni di sicurezza come Microsoft Defender e CrowdStrike Falcon.
Inoltre, recuperando la maggior parte della catena di attacco, Avast ha scoperto un RAT (Remote Access Trojan) precedentemente non documentato utilizzato da Lazarus, con ulteriori dettagli che verranno condivisi durante BlackHat Asia ad aprile.
Il malware sfrutta una vulnerabilitร nel driver โappid.sysโ di Microsoft, componente di Windows AppLocker che offre capacitร di whitelist delle applicazioni. Lazarus lo sfrutta manipolando il dispatcher IOCTL (Input and Output Control) nel driver appid.sys per chiamare un puntatore arbitrario, ingannando il kernel nellโesecuzione di codice non sicuro, aggirando cosรฌ i controlli di sicurezza.
Il rootkit FudModule, costruito allโinterno dello stesso modulo dellโexploit, esegue operazioni di manipolazione diretta degli oggetti del kernel (DKOM) per disattivare i prodotti di sicurezza, nascondere le attivitร malevole e mantenere la persistenza sul sistema compromesso. I prodotti di sicurezza presi di mira includono AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e la soluzione anti-malware HitmanPro.
Avast ha osservato nuove funzionalitร stealth e capacitร ampliate nella nuova versione del rootkit, come la possibilitร di sospendere processi protetti da Protected Process Light (PPL) manipolando le voci della tabella degli handle, interruzioni selettive e mirate tramite DKOM, miglioramenti nel manomettere il Driver Signature Enforcement e Secure Boot, e altro ancora.
Avast sottolinea che questa nuova tattica di exploit segna unโevoluzione significativa nelle capacitร di accesso al kernel dellโattore della minaccia, consentendo loro di lanciare attacchi piรน furtivi e persistere sui sistemi compromessi per periodi piรน lunghi.
Lโunica misura di sicurezza efficace รจ applicare gli aggiornamenti di Patch Tuesday di febbraio 2024 il prima possibile, poichรฉ lo sfruttamento di un driver integrato in Windows da parte di Lazarus rende lโattacco particolarmente difficile da rilevare e fermare.