Die berüchtigten Akteure der Lazarus-Gruppe haben in jüngsten Angriffen eine kürzlich gepatchte Schwachstelle zur Rechteerweiterung im Windows-Kernel als Zero-Day ausgenutzt, um Kernel-Zugriff zu erlangen und Sicherheitssoftware auf kompromittierten Hosts zu deaktivieren.
Die betreffende Schwachstelle ist CVE-2024-21338 (CVSS-Score: 7,8), die es einem Angreifer ermöglichen kann, SYSTEM-Privilegien zu erlangen. Microsoft hat diesen Fehler früher in diesem Monat im Rahmen der Patch-Dienstag-Updates behoben.
„Um diese Schwachstelle auszunutzen, müsste sich ein Angreifer zuerst im System anmelden“, so Microsoft. „Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Schwachstelle ausnutzt und die Kontrolle über ein betroffenes System übernimmt.“
Obwohl zum Zeitpunkt der Veröffentlichung der Updates keine Anzeichen für eine aktive Ausnutzung von CVE-2024-21338 vorlagen, hat Redmond am Mittwoch seine „Ausnutzbarkeitsbewertung“ für die Schwachstelle auf „Exploitation Detected“ (Ausnutzung erkannt) geändert.
Es ist derzeit nicht klar, wann die Angriffe stattgefunden haben, aber es wird gesagt, dass die Schwachstelle in Window 10, Version 1703 (RS2/15063) eingeführt wurde, als der 0x22A018 IOCTL-Handler (kurz für Input/Output Control) zum ersten Mal implementiert wurde.
Der Cybersecurity-Anbieter Avast, der einen admin-to-kernel-Exploit für den Bug in freier Wildbahn entdeckt hat, sagte, dass das durch die Ausnutzung der Schwachstelle erreichte Kernel-Lese-/Schreib-Primitiv der Lazarus-Gruppe ermöglichte, „direkte Kernel-Objektmanipulationen in einer aktualisierten Version ihres FudModule-Rootkits durchzuführen“.
Das FudModule-Rootkit wurde erstmals im Oktober 2022 von ESET und AhnLab als fähig beschrieben, die Überwachung aller Sicherheitslösungen auf infizierten Hosts zu deaktivieren, indem es einen so genannten Bring Your Own Vulnerable Driver (BYOVD)-Angriff nutzt, bei dem ein Angreifer einen Treiber implantiert, der anfällig für eine bekannte oder Zero-Day-Schwachstelle ist, um Privilegien zu eskalieren.
Was den neuesten Angriff besonders macht, ist, dass er „über BYOVD hinausgeht, indem er einen Zero-Day in einem Treiber ausnutzt, von dem bekannt ist, dass er bereits auf dem Zielrechner installiert ist“. Der betroffene Treiber ist appid.sys, der für das Funktionieren einer Windows-Komponente namens AppLocker, die für die Anwendungskontrolle zuständig ist, entscheidend ist.
Das in der realen Welt entwickelte Exploit der Lazarus-Gruppe nutzt CVE-2024-21338 im appid.sys-Treiber, um beliebigen Code auf eine Weise auszuführen, die alle Sicherheitsprüfungen umgeht und das FudModule-Rootkit ausführt.
„FudModule ist nur lose in den Rest des Malware-Ökosystems von Lazarus integriert, und Lazarus ist sehr vorsichtig beim Einsatz des Rootkits und setzt es nur unter den richtigen Umständen und auf Anforderung ein“, sagte der Sicherheitsforscher Jan Vojtěšek und beschrieb die Malware als aktiv in Entwicklung.
Neben Schritten zur Umgehung der Erkennung durch Deaktivierung von Systemloggern ist FudModule so konzipiert, dass es bestimmte Sicherheitssoftware wie AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro und Microsoft Defender Antivirus (früher Windows Defender) ausschaltet.
Diese Entwicklung markiert ein neues Niveau der technischen Raffinesse, das mit nordkoreanischen Hackergruppen verbunden ist, die ihr Arsenal kontinuierlich weiterentwickeln für verbesserte Heimlichkeit und Funktionalität. Es veranschaulicht auch die aufwendigen Techniken, die verwendet werden, um die Erkennung zu behindern und ihre Verfolgung viel schwieriger zu machen.
Die gegnerische Kollektivs Fokussierung auf plattformübergreifende Angriffe wird auch durch die Beobachtung veranschaulicht, dass es gefälschte Kalendereinladungslinks verwendet hat, um heimlich Malware auf Apple macOS-Systemen zu installieren, eine Kampagne, die zuvor von SlowMist im Dezember 2023 dokumentiert wurde.
„Lazarus-Gruppe bleibt eine der produktivsten und langjährigsten fortgeschrittenen anhaltenden Bedrohungsakteure“, sagte Vojtěšek. „Das FudModule-Rootkit dient als das neueste Beispiel und repräsentiert eines der komplexesten Werkzeuge, die Lazarus in ihrem Arsenal hat.“