هکرهای لازاروس آسیب‌پذیری ویندوز را هدف حملات خود قرار دادند

لازاروس، گروه هکری مشهور کره شمالی، از آسیب‌پذیری در درایور AFD.sys ویندوز برای ارتقاء سطح دسترسی و نصب روت‌کیت FUDModule بر روی سیستم‌های هدف سوءاستفاده کردند.

روت کیت (Rootkit) نوعی نرم‌افزار مخرب است که به صورت پنهانی در سیستم عامل یک کامپیوتر نصب می‌شود و به مهاجم اجازه می‌دهد تا به سیستم دسترسی پیدا کند و آن را کنترل کند. روت کیت‌ها معمولاً برای دور زدن سیستم‌های امنیتی و مخفی نگه داشتن فعالیت‌های مخرب طراحی شده‌اند.

مایکروسافت این آسیب‌پذیری که به عنوان CVE-2024-38193 شناخته می‌شود را در جریان به‌روزرسانی آگوست ۲۰۲۴، همراه با هفت آسیب‌پذیری روز صفر دیگر برطرف کرده است.

آسیب‌پذیری روز صفر به نقص امنیتی در یک نرم‌افزار، سیستم عامل یا سخت‌افزار گفته می‌شود که تا پیش از کشف عمومی و اطلاع توسعه‌دهندگان از آن، ناشناخته مانده است.

CVE-2024-38193 یک آسیب‌پذیری از نوع حملات BYOVD در درایور Ancillary Function و فایل AFD.sys ویندوز است. این درایور به عنوان نقطه ورودی به کرنل ویندوز برای پروتکل Winsock عمل می‌کند.

محققان شرکت Gen Digital این آسیب‌پذیری را کشف کرده و اعلام کردند که گروه لازاروس از این نقص برای نصب روت‌کیت FUDModule استفاده کرده‌اند. این روت‌کیت برای جلوگیری از شناسایی، ویژگی‌های نظارتی ویندوز را غیرفعال می‌کند.

شرکت Gen Digital در این مورد توضیح داد:«در اوایل ژوئن، لوئیجینو کاماسترا و میلانک کشف کردند که گروه لازاروس از نقص امنیتی پنهانی در بخش حیاتی ویندوز به نام درایور AFD.sys سوءاستفاده می‌کنند.

این آسیب‌پذیری به آن‌ها اجازه می‌دهد تا به بخش‌های حساس سیستم بدون مجوز دسترسی پیدا کنند. همچنین ما متوجه شدیم که آنها از بدافزار خاصی به نام FUDModule برای پنهان کردن فعالیت‌های خود از نرم‌افزارهای امنیتی استفاده کرده‌اند.»

حمله BYOVD زمانی رخ می‌دهد که مهاجمان یک درایور با آسیب‌پذیری‌های شناخته شده را روی ماشین‌های هدف نصب کرده و سپس از آن برای دستیابی تا سطح دسترسی کرنل سوءاستفاده می‌کنند. بازیگران تهدید اغلب از درایورهای ثالث مانند درایورهای آنتی‌ویروس یا سخت‌افزاری که نیاز به مجوزهای بالا برای تعامل با هسته دارند، سوءاستفاده می‌کنند.

آنچه این آسیب‌پذیری را خطرناک می‌کند این است که در درایور AFD.sys رخ داده، که به‌طور پیش‌فرض بر روی همه دستگاه‌های ویندوز نصب شده است. این امر به مهاجمان اجازه می‌دهد تا این نوع حمله را بدون نیاز به نصب یک درایور قدیمی و آسیب‌پذیر که ممکن است توسط ویندوز مسدود شود و به راحتی شناسایی گردد، انجام دهند.

پیش از این، گروه لازاروس از درایورهای کرنل appid.sys ویندوز و dbutil_2_3.sys شرکت Dell در حملات BYOVD برای نصب FUDModule استفاده کرده بود.

شرکت Gen Digital جزئیاتی درباره اهداف یا زمان وقوع این حمله را به اشتراک نگذاشته است.

گروه هکری لازاروس

گروه لازاروس به خاطر هدف قرار دادن شرکت‌های مالی و ارزهای دیجیتال در سرقت‌های سایبری میلیون دلاری که معمولاً برای تأمین بودجه برنامه‌های سلاح و سایبری دولت کره شمالی استفاده می‌شود، شهرت دارد.

این گروه پس از هک تهدیدآمیز سونی پیکچرز در سال ۲۰۱۴ و کمپین جهانی باج‌افزار وانا کرای (WannaCry) در سال ۲۰۱۷ که کسب‌وکارها در سراسر جهان را تحت تأثیر قرار داد، شهرت جهانی پیدا کرد.

در آوریل ۲۰۲۲، آمریکا گروه لازاروس را به یک حمله سایبری به پلتفرم اکسی اینفینیتی مرتبط دانست که در آن مهاجمان سایبری بیش از ۶۱۷ میلیون دلار ارز دیجیتال سرقت کردند.