(https://i.postimg.cc/qMp6JKSX/Zero-Day.png) (https://postimages.org/)
El notorio grupo de piratas informáticos norcoreano Lazarus explotó una falla de día cero en el controlador AFD.sys de Windows para elevar privilegios e instalar el rootkit FUDModule en los sistemas seleccionados.
Microsoft corrigió la falla, identificada como CVE-2024-38193 durante su parche del martes de agosto de 2024, junto con otras siete vulnerabilidades de día cero.
CVE-2024-38193 es una vulnerabilidad Bring Your Own Vulnerable Driver (BYOVD) en el controlador de función auxiliar de Windows para WinSock (AFD.sys), que actúa como un punto de entrada al kernel de Windows para el protocolo Winsock.
La falla fue descubierta por investigadores de Gen Digital, quienes dicen que el grupo de piratas informáticos Lazarus explotó la falla AFD.sys como un día cero para instalar el rootkit FUDModule, utilizado para evadir la detección desactivando las funciones de monitoreo de Windows.
"A principios de junio, Luigino Camastra y Milanek descubrieron que el grupo Lazarus estaba explotando una falla de seguridad oculta en una parte crucial de Windows llamada el controlador AFD.sys", advirtió Gen Digital.
"Esta falla les permitió obtener acceso no autorizado a áreas sensibles del sistema. También descubrimos que usaban un tipo especial de malware llamado Fudmodule para ocultar sus actividades al software de seguridad".
Un ataque Bring Your Own Vulnerable Driver es cuando los atacantes instalan controladores con vulnerabilidades conocidas en las máquinas objetivo, que luego se explotan para obtener privilegios a nivel de kernel. Los actores de amenazas a menudo abusan de controladores de terceros, como antivirus o controladores de hardware, que requieren altos privilegios para interactuar con el kernel.
Lo que hace que esta vulnerabilidad en particular sea más peligrosa es que la vulnerabilidad estaba en AFD.sys, un controlador que se instala de forma predeterminada en todos los dispositivos Windows. Esto permitió a los actores de amenazas realizar este tipo de ataque sin tener que instalar un controlador más antiguo y vulnerable que puede ser bloqueado por Windows y fácilmente detectado.
La semana pasada, Gen Digital le dijo a BleepingComputer que descubrieron el ataque en junio y creen que está relacionado con una campaña en Brasil previamente revelada por Google TAG.
Google dice que los piratas informáticos norcoreanos a los que atribuyen como PUKCHONG (UNC4899) atacaron a profesionales de criptomonedas brasileños con falsas oportunidades laborales que finalmente llevaron a la instalación de malware.
"Para entregar la aplicación maliciosa, PUKCHONG se comunicó con los objetivos a través de las redes sociales y envió un PDF benigno que contenía una descripción del trabajo para una supuesta oportunidad laboral en una conocida empresa de criptomonedas", explicó un artículo de Google TAG de junio.
"Si el objetivo respondía con interés, PUKCHONG enviaba un segundo PDF benigno con un cuestionario de habilidades e instrucciones para completar una prueba de codificación. Las instrucciones indicaban a los usuarios que descargaran y ejecutaran un proyecto alojado en GitHub".
"El proyecto era una aplicación Python troyanizada para recuperar precios de criptomonedas que se modificó para comunicarse con un dominio controlado por el atacante para recuperar una carga útil de segunda etapa si se cumplían condiciones específicas".
El grupo Lazarus también ha abusado de los controladores del kernel appid.sys de Windows y dbutil_2_3.sys de Dell en otros ataques BYOVD para instalar FUDModule.
El grupo de piratas informáticos Lazarus
Se sabe que el grupo de piratas informáticos Lazarus ataca a empresas financieras y de criptomonedas en ciberataques millonarios que se utilizan para financiar los programas cibernéticos y de armas del gobierno de Corea del Norte.
El grupo ganó notoriedad después del ataque de chantaje a Sony Pictures en 2014 y la campaña global de ransomware WannaCry en 2017 que encriptó empresas de todo el mundo.
En abril de 2022, el gobierno de EE. UU. vinculó al grupo Lazarus con un ciberataque a Axie Infinity que permitió a los actores de la amenaza robar más de 617 millones de dólares en criptomonedas.
El gobierno de EE. UU. ofrece una recompensa de hasta 5 millones de dólares por pistas sobre la actividad maliciosa de los piratas informáticos de la RPDC para ayudar a identificarlos o localizarlos.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/windows-driver-zero-day-exploited-by-lazarus-hackers-to-install-rootkit/