Die berüchtigte nordkoreanische Hackergruppe Lazarus hat eine bisher unbekannte Sicherheitslücke im Windows-Treiber AFD.sys ausgenutzt, um ihre Privilegien zu erweitern und das Rootkit FUDModule auf angegriffenen Systemen zu installieren.

Microsoft hat diese Sicherheitslücke, die unter der Kennung CVE-2024-38193 bekannt ist, während des Patch Tuesday im August 2024 zusammen mit sieben weiteren Zero-Day-Schwachstellen behoben.

CVE-2024-38193 ist eine Schwachstelle im Windows Ancillary Function Driver für WinSock (AFD.sys), der als Einstiegspunkt in den Windows-Kernel für das Winsock-Protokoll dient. Die Schwachstelle wurde von Forschern von Gen Digital entdeckt, die berichten, dass die Lazarus-Hacker diese Zero-Day-Lücke ausnutzten, um das FUDModule-Rootkit zu installieren. Dieses Rootkit dient dazu, die Erkennung durch Sicherheitssoftware zu umgehen, indem es Überwachungsfunktionen von Windows deaktiviert.

„Anfang Juni entdeckten Luigino Camastra und Milanek, dass die Lazarus-Gruppe eine versteckte Sicherheitslücke in einem wichtigen Teil von Windows, dem AFD.sys-Treiber, ausnutzt“, warnte Gen Digital. „Diese Schwachstelle ermöglichte ihnen den unautorisierten Zugriff auf sensible Systembereiche. Wir stellten außerdem fest, dass sie eine spezielle Art von Malware namens FUDModule verwendeten, um ihre Aktivitäten vor Sicherheitssoftware zu verbergen.“

Ein Angriff nach dem Prinzip „Bring Your Own Vulnerable Driver“ (BYOVD) tritt auf, wenn Angreifer absichtlich Treiber mit bekannten Schwachstellen auf Zielsystemen installieren, die dann ausgenutzt werden, um Kernel-Ebene-Privilegien zu erlangen. Häufig missbrauchen Bedrohungsakteure Drittanbieter-Treiber, wie beispielsweise von Antiviren- oder Hardwareherstellern, die hohe Privilegien benötigen, um mit dem Kernel zu interagieren.

Besonders gefährlich an dieser Schwachstelle ist, dass sie im AFD.sys-Treiber lag, der standardmäßig auf allen Windows-Geräten installiert ist. Dies ermöglichte es den Angreifern, diesen Angriffstyp durchzuführen, ohne einen älteren, anfälligen Treiber installieren zu müssen, der möglicherweise von Windows blockiert und leicht erkannt werden könnte.

Die Lazarus-Gruppe hat zuvor bereits die Windows-Treiber appid.sys und Dell dbutil_2_3.sys in BYOVD-Angriffen missbraucht, um FUDModule zu installieren.

Die Lazarus-Hackergruppe

Obwohl Gen Digital keine detaillierten Informationen darüber veröffentlichte, wer in den Angriffen ins Visier genommen wurde und wann diese stattfanden, ist bekannt, dass die Lazarus-Gruppe Finanz- und Kryptowährungsunternehmen in millionenschweren Cyber-Diebstählen angreift, um die Waffen- und Cyberprogramme der nordkoreanischen Regierung zu finanzieren.

Die Gruppe erlangte erstmals 2014 durch den Angriff auf Sony Pictures und später durch die globale WannaCry-Ransomware-Kampagne 2017, bei der weltweit Unternehmen verschlüsselt wurden, Bekanntheit.

Im April 2022 brachte die US-Regierung die Lazarus-Gruppe mit einem Cyberangriff auf Axie Infinity in Verbindung, bei dem die Angreifer Kryptowährungen im Wert von über 617 Millionen US-Dollar stahlen.

Die US-Regierung bietet eine Belohnung von bis zu 5 Millionen US-Dollar für Hinweise, die zur Identifizierung oder Auffindung der nordkoreanischen Hacker führen.