Microsoft Zero-Day Used by Lazarus in Rootkit Attack
2024/03/01 DarkReading — Microsoft のアプリケーション・ホワイトリスト・ソフトウェア AppLocker の、ゼロデイ脆弱性は修正されている。しかし、北朝鮮に支援される Lazarus Group が実施する、ルートキット型サイバー攻撃において、この脆弱性が悪用されることは防げなかった。Avast の研究者たちの説明によると、Microsoft Windows のゼロデイ脆弱性 CVE-2024-21338 を発見した Lazarus は、FudModule と呼ばれる独自のルートキット・マルウェアの更新版を介して、Admin から Kernel へと権限を引き上げたという。
このゼロデイは、2月13日の Microsoft Patch Tuesday の一部として修正されたが、2月29日の時点で Avast は、そのエクスプロイトの詳細を発表している。
Avast のアナリストたちが、注目すべき点として報告しているのは、Microsoft Defender/Crowdstrike Falcon/HitmanPro プラットフォームにおいて、PPL (protected process light) 一時的に停止させる機能などが、FudModule の更新により強化されている点だ。
さらに、Lazarus Group は、以前の BYOVD (Bring Your Own Vulnerable Driver) 戦法を止め、より単純なゼロデイ・エクスプロイト・アプローチを使用し、Admin-to-Kernel のジャンプを達成するようになったと、Avast のチームは説明している。
さらに Avast は、新たな Lazarus RAT (Remote Aaccess Trojan) も発見している。同社のレポートには、
「Lazarus のシグネチャーの手口やテクニックは、もはや十分に認知されているが、それでも彼らは時折、予想外の技術的な洗練度で、私たちを驚かせることがある。”FudModule” ルートキットも、最新の事例として捉えるべきであり、Lazarus が保有する最も複雑なツールの1つになっている」と記されている。
Windows Kernel の脆弱性 CVE-2024-21338 は、2024年2月の Patch Tuesday で修正され、CVSS 値は 7.8 と評価されています。また、Microsoft のアドバイザリには、“Exploited:Yes” と記載されています。また、Lazarus ですが、その戦略を修正しているようです。よろしければ、Lazarus で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.