Windows 0-day は北朝鮮によって高度なルートキット ソフトウェアをインストールするために悪用されました

北朝鮮政府のために働くハッカーらが、最近マイクロソフトによってパッチが適用されたWindowsオペレーティングシステムの脆弱性を悪用し、カスタムのステルスかつ非常に高度なマルウェアをインストールできると研究者が月曜日に報告した。

脆弱性は次のように追跡されました。 CVE-2024-38193この脆弱性は、Microsoft が先週火曜日にリリースした月例アップデートで修正された 6 つの脆弱性のうちの 1 つで、「リリース後使用」として知られる脆弱性です。 Microsoftによると、この脆弱性はAFD.sysファイルにあるという。このファイルは、いわゆるアドオンドライバおよびWinsock APIのカーネルエントリポイントのバイナリファイルである。 Microsoftは、この脆弱性が悪用されて攻撃者にシステム権限、Windowsオペレーティングシステムで利用可能な最大のシステム権限、および信頼できないコードを実行するために必要な状態を与える可能性があると警告した。

Lazarus が Windows カーネルにアクセスできるようになります

Microsoftは当時、この脆弱性が積極的に悪用されていると警告したが、攻撃の背後に誰がいるのか、最終的な目的は何なのかについては詳細を明らかにしなかった。月曜日、攻撃を検知しマイクロソフトに非公開で報告したセキュリティ会社、Genの研究者らは、攻撃者はLazarusの一部であると述べた。Lazarusとは、研究者が北朝鮮政府支援のハッカーグループを追跡するために使用している名前である。

Genの研究者らは、「この脆弱性により、攻撃者は通常のセキュリティ制限を回避し、ほとんどのユーザーや管理者がアクセスできないシステムの機密領域にアクセスすることが可能になった」と述べた。 報告されています「この種の攻撃は高度かつ革新的であり、闇市場で数十万ドルの費用がかかる可能性があります。これは、暗号通貨エンジニアリングや航空宇宙などの機密分野に従事する個人をターゲットにして雇用主にアクセスするため、憂慮すべきことです。 ‘ ネットワークを構築し、攻撃者の活動に資金を提供するために暗号通貨を盗みます。

月曜日のブログ投稿では、Lazarus が脆弱性を利用して FudModule をインストールしていたと報告しました。FudModule は、2 つの別々のセキュリティ会社の研究者によって 2022 年に発見され、分析された高度なマルウェアです。 アンラーブ研究所 そして ESET。 FudModule は、ルートキットとして知られるマルウェアの一種である、エクスポート テーブルに存在していた FudModule.dll ファイルにちなんで名付けられました。これは Windows オペレーティング システムの奥深くで強力に機能することができましたが、この領域は当時も現在も広く理解されていませんでした。この機能により、FudModule は内部および外部のセキュリティ防御による監視を無効にすることができました。

ルートキットは、ファイル、プロセス、その他の内部プロセスをオペレーティング システム自体から隠すと同時に、オペレーティング システムの最も深いレベルを制御する機能を備えたマルウェアです。これらのプログラムが動作するには、まずシステム権限を取得してから、カーネル（オペレーティング システムの最も機密性の高い機能のために予約されている領域）と直接対話する必要があります。 AhnLabs と ESET によって発見された FudModule の亜種は、カーネルにアクセスするために既知の脆弱性を備えた正規のドライバーをインストールする「Bring your own脆弱なドライバー」と呼ばれる手法を使用してインストールされました。

今年初め、セキュリティ企業アバストの研究者は、Endpoint Detection and Response や Protected Process Light などの主要な Windows 防御をバイパスする FudModule の新しい亜種を発見しました。アバストがこの脆弱性を非公開で報告してからマイクロソフトが修正するまでに 6 か月かかりましたが、遅れたため、Lazarus は脆弱性を悪用し続けることができました。

Lazarus は、FudModule の以前のバージョンをインストールするために、Bring Your Own Vulnerable Driver を使用していましたが、グループのメンバーは、Windows にプレインストールされている Windows AppLocker サービスを有効にするドライバーである appid.sys のバグを悪用してアバストが発見したバージョンをインストールしました。アバストの研究者らは当時、これらの攻撃で悪用されたWindowsの脆弱性は、外部ソースからインストールする必要はなくオペレーティングシステムに直接組み込まれているため、ハッカーにとっては聖杯であると述べた。

Norton、Norton Lifelock、Avast、Avira などのブランドを含む Gen は、Lazarus が CVE-2024-38193 の悪用を開始した時期、攻撃の対象となった組織の数、最新の FudModule 亜種がエンドポイント保護サービスが誰にでも発見されます。違反の兆候もありません。同社の代表者は電子メールに返答しなかった。