De beruchte Noord-Koreaanse Lazarus-hackgroep heeft een zero-day zwakte in de Windows AFD.sys driver uitgebuit om privileges te verhogen en de FUDModule rootkit te installeren op gerichte systemen.

Microsoft heeft de zwakte, gevolgd als CVE-2024-38193, verholpen tijdens zijn Patch Tuesday van augustus 2024, samen met zeven andere zero-day kwetsbaarheden.

CVE-2024-38193 is een zwakte in de Windows Ancillary Function Driver voor WinSock (AFD.sys), die fungeert als een ingangspunt naar de Windows Kernel voor het Winsock-protocol.

De zwakte werd ontdekt door onderzoekers van Gen Digital, die zeggen dat de Lazarus-hackgroep de AFD.sys-zwakte heeft uitgebuit als een zero-day om de FUDModule rootkit te installeren, die wordt gebruikt om detectie te omzeilen door Windows-monitoringfuncties uit te schakelen.

“Begin juni ontdekten Luigino Camastra en Milanek dat de Lazarus-groep een verborgen beveiligingslek uitbuitte in een cruciaal onderdeel van Windows genaamd de AFD.sys driver,” waarschuwde Gen Digital.

“Dit lek stelde hen in staat om ongeautoriseerde toegang te verkrijgen tot gevoelige systeemdelen. We ontdekten ook dat ze een speciaal type malware, genaamd Fudmodule, gebruikten om hun activiteiten te verbergen voor beveiligingssoftware.”

Een Bring Your Own Vulnerable Driver-aanval is wanneer aanvallers drivers met bekende kwetsbaarheden installeren op gerichte machines, die vervolgens worden uitgebuit om kernel-niveau privileges te verkrijgen. Dreigingsactoren misbruiken vaak drivers van derden, zoals antivirus- of hardwaredrivers, die hoge privileges vereisen om met de kernel te communiceren.

Wat deze specifieke kwetsbaarheid gevaarlijker maakt, is dat de kwetsbaarheid zich in AFD.sys bevindt, een driver die standaard op alle Windows-apparaten is geïnstalleerd. Hierdoor konden de dreigingsactoren dit type aanval uitvoeren zonder een oudere, kwetsbare driver te hoeven installeren die mogelijk door Windows wordt geblokkeerd en gemakkelijk kan worden gedetecteerd.

De Lazarus-groep heeft eerder de kernel-drivers van Windows appid.sys en Dell dbutil_2_3.sys misbruikt in BYOVD-aanvallen om FUDModule te installeren.

De Lazarus-hackgroep

Hoewel Gen Digital geen details deelde over wie het doelwit was van de aanval en wanneer de aanvallen plaatsvonden, staat Lazarus bekend om het aanvallen van financiële en cryptocurrency-bedrijven in miljoenen dollars kostende cyberovervallen die worden gebruikt om het wapen- en cyberprogramma van de Noord-Koreaanse regering te financieren.

De groep verwierf bekendheid na de chantagehack op Sony Pictures in 2014 en de wereldwijde WannaCry ransomware-campagne in 2017 die bedrijven wereldwijd versleutelde.

In april 2022 koppelde de Amerikaanse regering de Lazarus-groep aan een cyberaanval op Axie Infinity die de dreigingsactoren in staat stelde om meer dan $617 miljoen aan cryptocurrency te stelen.

De Amerikaanse regering biedt een beloning van tot wel $5 miljoen voor tips over de kwaadaardige activiteiten van de DPRK-hackers om hen te helpen identificeren of lokaliseren.