网络安全专家发现,据称与朝鲜政府有联系的 Lazarus 黑客组织利用 Windows 中的零日漏洞安装了一个名为 FudModule 的复杂 rootkit。该漏洞允许在系统中获取最大权限。
图片来源:anonymous_Pete-Linforth/Pixabay
据Ars Technica援引Gen的代表的话说,该漏洞的标识符为CVE-2024-38193,属于“释放后使用”类,位于AFD.sys驱动程序中,该驱动程序用于与Winsock协议一起工作,并作为操作系统内核的入口点。Microsoft警告说,攻击者可能会利用此漏洞来获得系统权限,从而允许执行未经确认的代码。
«该漏洞允许攻击者绕过标准安全机制,并访问大多数用户甚至管理员无法访问的系统敏感区域,“Gen报告说».回想一下,FudModule rootkit 是在 2022 年首次发现的。它能够通过绕过防病毒软件和其他保护工具来隐藏其在系统上的恶意存在。
以前,来自Lazarus的黑客使用“自带易受攻击的驱动程序”技术来安装早期版本的FudModule。然而,这一次,他们利用了 appid.sys 系统驱动程序中的一个错误,该错误直到今天在所有版本的 Windows 中都默认存在。
Gen 没有透露黑客利用 CVE-2024-38193 漏洞的时间、有多少组织受到攻击的影响以及防病毒程序是否能够检测到最新版本的 FudModule 的详细信息。
注:有点意思