Die berüchtigte Lazarus Group hat eine kürzlich behobene Privilegien-Eskalationslücke im Windows-Kernel als Zero-Day ausgenutzt, um Kernel-Zugriff zu erhalten und Sicherheitssoftware auf kompromittierten Hosts zu deaktivieren. Die betroffene Schwachstelle, CVE-2024-21338 (CVSS-Score: 7.8), ermöglicht es einem Angreifer, SYSTEM-Privilegien zu erlangen. Microsoft hat das Problem Anfang dieses Monats im Rahmen der Patch Tuesday-Updates behoben.
Obwohl zum Zeitpunkt der Veröffentlichung der Updates keine Hinweise auf aktive Ausbeutung von CVE-2024-21338 vorhanden waren, hat Redmond am Mittwoch seine „Exploitability Assessment“ für die Schwachstelle auf „Exploitation Detected“ überarbeitet. Cybersecurity-Anbieter Avast, der einen in-the-wild Admin-zu-Kernel-Exploit für den Bug entdeckt hat, sagte, dass die Kernel-Lese-/Schreibprimitive, die durch die Nutzung der Schwachstelle erreicht wurden, es der Lazarus Group ermöglichten, „direkte Kernelobjektmanipulation in einer aktualisierten Version ihres datenbasierten FudModule-Rootkits durchzuführen“.
Das FudModule-Rootkit wurde erstmals im Oktober 2022 von ESET und AhnLab gemeldet und ist in der Lage, das Monitoring aller Sicherheitslösungen auf infizierten Hosts durch einen sogenannten Bring-Your-Own-Vulnerable-Driver (BYOVD)-Angriff zu deaktivieren. Der aktuelle Angriff ist besonders signifikant, da er „über BYOVD hinausgeht, indem er einen Zero-Day in einem Treiber ausnutzt, der bereits auf dem Zielrechner installiert ist“. Dieser anfällige Treiber ist appid.sys, der für die Funktion eines Windows-Komponenten namens AppLocker verantwortlich ist.
Die eigens entwickelte Echtwelt-Ausnutzung der Lazarus-Gruppe nutzt CVE-2024-21338 im appid.sys-Treiber, um beliebigen Code auszuführen, der alle Sicherheitsüberprüfungen umgeht und das FudModule-Rootkit ausführt. FudModule wurde als sehr komplexe und aktive Malware beschrieben, die unter anderem Sicherheitssoftware wie AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro und Microsoft Defender Antivirus (früher Windows Defender) deaktiviert.
Diese Entwicklung markiert ein neues Maß an technischer Raffinesse, das mit nordkoreanischen Hackergruppen in Verbindung gebracht wird, die kontinuierlich ihr Arsenal verbessern, um ihre Spuren zu verwischen. Die Gruppe setzt auch auf raffinierte Techniken, um die Entdeckung zu verhindern und ihre Verfolgung zu erschweren.
Die Fokussierung auf verschiedene Plattformen wird durch die Tatsache exemplifiziert, dass die Gruppe beobachtet wurde, wie sie gefälschte Kalendereinladungslinks verwendet, um heimlich Malware auf Apple macOS-Systemen zu installieren, eine Kampagne, die zuvor von SlowMist im Dezember 2023 dokumentiert wurde. Die Lazarus-Gruppe bleibt weiterhin unter den produktivsten und langlebigsten fortgeschrittenen Bedrohungsakteuren, wobei das FudModule-Rootkit das neueste Beispiel für eines der komplexesten Tools in ihrem Arsenal darstellt.