臭名昭著的黑客组织 Lazarus 利用最近修复的Windows Kernel 0day 获得内核级别的访问权限并禁用受陷主机上的安全软件。

该漏洞是CVE-2024-21338（CVSS评分7.8），它可导致攻击者获得系统权限，已由微软在2月补丁星期二中修复。微软指出，“要利用该漏洞，攻击者受陷必须登录系统，之后运行一个特殊构造的应用利用该漏洞并控制受影响系统。”

虽然在发布更新时并未有迹象表明CVE-2024-21338已遭活跃利用，但微软在周三将漏洞的“可利用性评估”改为“检测到利用”。目前尚不清楚攻击何时发生，但据悉该漏洞在 Windows 10 1703 (RS2/15063) 版本中引入，而也是在该版本中首次实现了 0x22A018 IOCTL（输入/输出控制）句柄。

Avast 公司发现了该漏洞的在野 admin-to-kernel 利用，表示通过武器化该漏洞实现内核读/写原语可使 Lazarus 组织“在仅数据的 FudModule rootkit的更新版本中执行直接的内核对象操纵。”

FudModule rootkit 由ESET 和 AhnLab 公司首次在2022年10月报告，它能够通过 BYOVD 攻击禁止对受感染主机上的所有安全解决方案进行监控。在这类攻击中，攻击者植入易受已知的或0day漏洞攻击的驱动来提升权限。

最近发生的攻击活动之所以影响重大是因为它“利用已知安装在目标机器上的驱动中的 0day，超过了 BYOVD的范畴”。该驱动是 appid.sys，它对于负责应用控制的 Windows 组件 AppLocker 的运行至关重要。

Lazarus 组织利用 CVE-2024-21338执行任意代码的方式绕过了所有安全检测并运行了 FudModule rootkit。安全研究员 Jan Vojtěšek 表示该恶意软件仍在活跃开发状态，“FudModule 仅松散地集成到 Lazarus 恶意软件生态系统中，Lazarus 对于使用该 rootkit 非常谨慎，仅在适当情况下按需部署。”

除了禁用系统记录器绕过检测外，FudModule 还关闭了具体的安全软件如 AhnLab V3 Endpoint Security、CrowdStrike Falcon、HitmanPro 和微软 Defender Antivirus。

这一攻击说明朝鲜黑客组织的技术复杂度上了一个台阶，它不断迭代武器库以改进隐秘性和功能，同时阻止检测，为追踪增加难度。而Lazarus 组织对跨平台的关注点也得到了证实：它利用一个恶意日历会议邀请链接偷偷在苹果 macOS 系统上安装恶意软件。

Vojtěšek 表示，“Lazarus 组织仍然是最为多产和长久的APT组织。FudModule rootkit就是最新的证明，是它武器库中最为复杂的工具之一。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~