Microsoft zakrpio ozbiljan propust koji je eksploatisala grupa Lazarus

Nedavno otkrivena ranjivost u Windows operativnom sistemu, poznata kao CVE-2024-38193, bila je korišćena od strane hakera povezanih sa severnokorejskom vladom kako bi instalirali sofisticirani malver. Ova ranjivost, koja je deo klase poznate kao "use after free", omogućila je napadačima da zaobiđu standardne bezbednosne mere i steknu pristup osetljivim delovima sistema. Malver, nazvan FudModule, predstavlja tip rootkita koji je u stanju da se sakrije od sistema i kontroliše najdublje delove operativnog sistema Windows.

Microsoft je u okviru svojih mesečnih ažuriranja prošle nedelje popravio ovu i još pet drugih zero-day ranjivosti. Međutim, dok su objavili da je CVE-2024-38193 već bila aktivno iskorišćena, nisu pružili detalje o tome ko stoji iza napada. Tek su istraživači iz kompanije Gen, koja je otkrila ovu ranjivost, u ponedeljak identifikovali napadače kao grupu Lazarus, poznatu hakersku organizaciju podržanu od strane severnokorejske vlade.

Lazarus je koristio ovu ranjivost da instalira FudModule, malver koji je otkriven još 2022. godine. Ovaj malver je posebno opasan jer omogućava napadačima da se kreću unutar sistema, a da budu primećeni od strane sigurnosnih rešenja, kako unutrašnjih tako i spoljašnjih. Malver cilja ljude u osetljivim sektorima, kao što su kriptoinženjering i aeronautika, sa ciljem da ukrade kriptovalute i finansira aktivnosti napadača.

Istraživači iz Avasta su ranije ove godine otkrili novu varijantu FudModule-a koja je bila u stanju da zaobiđe ključne Windows zaštite. Microsoft je tek posle šest meseci izdao patch za ovu ranjivost, što je omogućilo grupi Lazarus da nastavi sa eksploatacijom. Novi način instalacije malvera nije uključivao ranije korišćeni metod poznat kao "donesi sopstveni ranjivi drajver", već je iskorišćen propust u Windows AppLocker drajveru.

Ostaje nejasno koliko je organizacija bilo pogođeno ovim napadom, jer Gen nije pružio dodatne informacije o broju napada niti o tome da li su novi varijanti FudModule-a otkriveni bilo kojim zaštitnim rešenjima. Ovo predstavlja dodatnu brigu za mnoge koji su pogođeni ovim napadima, dok sigurnosne kompanije i dalje pokušavaju da prikupe sve neophodne informacije.