导读 新研究称,臭名昭著的Lazarus组织正在利用零日漏洞禁用目标Windows端点上的防病毒程序。Avast的网络安全专家表示,他们观察到朝鲜国家资助...
新研究称,臭名昭著的Lazarus组织正在利用零日漏洞禁用目标Windows端点上的防病毒程序。
Avast的网络安全专家表示,他们观察到朝鲜国家资助的黑客发起了一项新活动,该活动现在利用了WindowsAppLocker驱动程序中的缺陷。该缺陷被追踪为CVE-2024-21338,使他们能够获得对设备的内核级访问权限。他们用它来禁用设备上安装的任何防病毒程序,为更具破坏性的恶意软件打开了大门。
该缺陷是在appid.sys驱动程序中发现的,该驱动程序是WindowsAppLocker处理白名单的组件。
为了利用零日漏洞,Lazarus使用了新版本的FudModule,这是其专有的rootkit,于2022年末首次被发现。在之前的攻击中,该rootkit滥用了戴尔驱动程序,即所谓的自带漏洞驱动程序(BYOVD)攻击。现在,FudModule更加隐蔽、功能更强大,提供更多方法来避免被检测并关闭端点保护解决方案。
显然,该组织使用它来禁用AhnLabV3EndpointSecurity、WindowsDefender、CrowdStrikeFalcon和HitmanPro反恶意软件解决方案等产品。
Avast向微软通报了其调查结果,微软在2024年2月补丁星期二累积更新中发布了该缺陷的修复程序。这也是保持安全的唯一方法,因此建议毫不犹豫地应用补丁。
拉撒路集团是世界上最著名、最臭名昭著的网络犯罪组织之一。研究人员认为,它受到朝鲜政府的直接控制,经常利用其技能进行网络间谍活动,但也进行金钱抢劫。