Lazarus: sfruttato zero-day driver Windows per installare rootkit

Il gruppo di hacker nordcoreano Lazarus ha sfruttato una falla zero-day nel driver Windows AFD.sys per elevare i privilegi e installare il rootkit FUDModule sui sistemi presi di mira. Microsoft ha corretto la falla, tracciata come CVE-2024-38193 durante il Patch Tuesday di agosto 2024, insieme ad altre sette vulnerabilità zero-day. CVE-2024-38193 è una vulnerabilità Bring Your Own Vulnerable Driver (BYOVD) nel Windows Ancillary Function Driver for WinSock (AFD.sys). Questa funge da punto di ingresso nel kernel di Windows per il protocollo Winsock. La falla è stata scoperta dai ricercatori di Gen Digital. Quest'ultimi affermano che il gruppo di hacker Lazarus ha sfruttato la falla AFD.sys come una falla zero-day per installare il rootkit FUDModule. Quest’ultimo è utilizzato per eludere il rilevamento disattivando le funzionalità di monitoraggio di Windows.

Come ha avvertito Gen Digital: "all'inizio di giugno, Luigino Camastra e Milanek hanno scoperto che il gruppo Lazarus stava sfruttando una falla di sicurezza nascosta in una parte cruciale di Windows chiamata driver AFD.sys. Questa falla ha permesso loro di ottenere un accesso non autorizzato ad aree di sistema sensibili. Abbiamo anche scoperto che hanno utilizzato uno speciale tipo di malware chiamato Fudmodule per nascondere le loro attività al software di sicurezza".

Lazarus: come funziona un attacco BYOVD

Un attacco Bring Your Own Vulnerable Driver si verifica quando gli aggressori installano driver con vulnerabilità note su macchine mirate. Queste vengono poi sfruttate per ottenere privilegi a livello di kernel. Gli autori delle minacce spesso abusano di driver di terze parti, come antivirus o driver hardware, che richiedono privilegi elevati per interagire con il kernel. Ciò che rende questo particolare attacco più pericoloso è che la vulnerabilità era in AFD.sys, un driver installato di default su tutti i dispositivi Windows. Gli autori delle minacce possono così condurre questo tipo di attacco senza dover installare un driver più vecchio e vulnerabile che potrebbe essere facilmente rilevato e bloccato da Windows. In passato, il gruppo Lazarus ha abusato dei driver del kernel Windows appid.sys e Dell dbutil_2_3.sys in attacchi BYOVD per installare FUDModule.

Gen Digital non abbia condiviso dettagli sulle vittime e quando si sono verificati gli attacchi. Tuttavia, Lazarus è noto per aver preso di mira società finanziarie e di criptovaluta in furti informatici da milioni di dollari. Questo denaro è stato poi utilizzato per finanziare le armi e i programmi informatici del governo nordcoreano. Il gruppo ha acquisito notorietà dopo l'attacco informatico del 2014 alla Sony Pictures e la campagna ransomware globale WannaCry del 2017. Ad aprile 2022, il governo degli Stati Uniti ha collegato il gruppo Lazarus a un attacco informatico su Axie Infinity che ha consentito agli autori della minaccia di rubare oltre 617 milioni di dollari in criptovaluta. Il governo USA offre una ricompensa fino a 5 milioni di dollari per suggerimenti sulle attività dannose degli hacker della RPDC per aiutare a identificarli o localizzarli.