Lazarus Group 使用 Windows 零日漏洞 获取内核权限

关键要点

北韩网络攻击组织 Lazarus Group 利用 Windows AppLocker 驱动程序中的零日漏洞。攻击者能够获得内核级别访问权限以禁用安全机制。此漏洞被标记为 CVE202421338，已在 2024 年 2 月的 Microsoft 补丁周二中修复。Lazarus Group 更新了其 FudModule Rootkit 并针对多种安全工具进行攻击。

来自 BleepingComputer 的报导指出，北韩的威胁组织 Lazarus Group 利用 Windows AppLocker 驱动程序appidsys中的 零日漏洞 获取了内核级别的访问权限，并有效禁用了一些安全机制。

这一漏洞目前被识别为 CVE202421338，在 2024 年 2 月的 Microsoft 补丁周二期间已被修补。据 Avast 专家表示，Lazarus 修改了其 FudModule 根进程工具，这是 ESET 在 2022 年底首次报告的根进程工具，并利用 CVE202421338 构建了一种读/写内核原语。该根进程工具曾经被用来攻击 Dell 驱动程序，进行 BYOVD 攻击Bring Your Own Vulnerable Driver。

海鸥加速器官网下载

以下是 Lazarus Group 近期攻击的安全工具名单：

受影响工具HitmanPro 反恶意软件程序AhnLab V3 端点安全Windows DefenderCrowdStrike Falcon

Avast 也报告说，其发现了该最新版本根进程工具的额外能能力和新的隐形特性，包括改进了驱动程序签名强制和安全启动的干扰。然而，Microsoft 尚未将此漏洞标示为零日攻击。