El famoso grupo de hackers norcoreano Lazarus aprovechó una falla de día cero en el controlador AFD.sys de Windows para elevar privilegios e instalar el rootkit FUDModule en sistemas específicos.
Microsoft corrigió la falla, identificada como CVE-2024-38193 durante su martes de parches de agosto de 2024, junto con otras siete vulnerabilidades de día cero.
CVE-2024-38193 es un Traiga su propio conductor vulnerable Vulnerabilidad (BYOVD) en el controlador de función auxiliar de Windows para WinSock (AFD.sys), que actúa como punto de entrada al kernel de Windows para el protocolo Winsock.
La falla fue descubierta por investigadores de Gen Digital, quienes afirman que el grupo de hackers Lazarus aprovechó la falla AFD.sys como un día cero para instalar el Rootkit del módulo FUDse utiliza para evadir la detección desactivando las funciones de supervisión de Windows.
“A principios de junio, Luigino Camastra y Milanek descubrieron que el Grupo Lazarus estaba explotando una vulnerabilidad de seguridad oculta en una parte crucial de Windows llamada controlador AFD.sys”. advirtió Gen Digital.
“Esta falla les permitió obtener acceso no autorizado a áreas sensibles del sistema. También descubrimos que estaban usando un tipo especial de malware llamado Fudmodule para ocultar sus actividades al software de seguridad. »
Un ataque Bring Your Own Vulnerable Driver ocurre cuando los atacantes instalan controladores con vulnerabilidades conocidas en las máquinas específicas, que luego son explotadas para obtener privilegios a nivel de kernel. Los actores malintencionados a menudo abusan de controladores de terceros, como antivirus o controladores de hardware, que requieren privilegios elevados para interactuar con el kernel.
Lo que hace que esta vulnerabilidad en particular sea aún más peligrosa es que se encuentra en AFD.sys, un controlador instalado de forma predeterminada en todos los dispositivos Windows. Esto permitió a los actores maliciosos llevar a cabo este tipo de ataque sin tener que instalar un controlador antiguo y vulnerable que Windows pueda bloquear y detectar fácilmente.
El Grupo Lazarus ha abusado previamente de los controladores del kernel de Windows appid.sys y Dell dbutil_2_3.sys en ataques BYOVD para instalar FUDModule.
El grupo de hackers Lazarus
Aunque Gen Digital no compartió detalles sobre quién fue el objetivo del ataque y cuándo tuvo lugar, Lazarus es conocido por atacar a empresas financieras y de criptomonedas en ciberataques multimillonarios utilizados para financiar los programas de armas y ciberseguridad del gobierno de Corea del Norte.
El grupo ganó notoriedad después de la Hackeo de Sony Pictures en 2014 y la campaña global de ransomware WannaCry de 2017 que cifró empresas de todo el mundo.
En abril de 2022, el gobierno de EE. UU. vinculó al Grupo Lazarus con un ciberataque a Axie Infinity que permitió a los actores de amenazas robar más de 617 millones de dólares en criptomonedas.
El gobierno de Estados Unidos ofrece una recompensa de hasta 5 millones de dólares por información sobre las actividades maliciosas de los piratas informáticos de la RPDC para ayudar a identificarlos o localizarlos.