Em um desenvolvimento preocupante, analistas de segurança da Avast identificaram um ataque de exploração conduzido pelo coletivo de hackers com sede na Coreia do Norte, Lazarus Group. Os hackers manipularam com sucesso uma vulnerabilidade anteriormente desconhecida no sistema operacional Windows, visando especificamente o driver ‘appid.sys’, parte integrante dos recursos de lista de permissões de aplicativos do Windows AppLocker. Ao explorar esta falha, agora identificada como CVE-2024-21338, os invasores foram capazes de obter acesso em nível de kernel, melhorando drasticamente sua capacidade de conduzir operações furtivas e contornar medidas de segurança tradicionais.
Elaboração sobre a exploração e seu impacto
Utilizando esta exploração de dia zero, o Grupo Lazarus atualizou seu notório rootkit FudModule para facilitar uma abordagem mais presença sombria em sistemas comprometidos. Descoberto inicialmente no final de 2022, o rootkit utilizava anteriormente um driver Dell para suas operações. No entanto, a iteração mais recente apresenta melhorias tanto na evasão quanto na funcionalidade. Notavelmente, entre eles está a capacidade de desligar produtos de segurança essenciais, como AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e a solução antimalware da HitmanPro. Esses avanços permitem que o rootkit execute tarefas de manipulação direta de objetos do kernel (DKOM), permitindo que ele oculte suas atividades e mantenha a persistência sem ser detectado.
Medidas e recomendações de segurança
Após a detecção do Avast e subsequente relatório da exploração, a Microsoft lançou um patch como parte de suas atualizações Patch Tuesday de fevereiro de 2024, com o objetivo de mitigar os riscos associados ao CVE-2024-21338. No entanto, é crucial que organizações e indivíduos implementem esses patches imediatamente para se protegerem contra possíveis infiltrações. Além disso, a Avast compartilhou regras YARA projetadas para auxiliar na detecção de atividades ligadas à versão atualizada do rootkit FudModule do Grupo Lazarus, fortalecendo as defesas contra este e explorações potencialmente semelhantes.
O envolvimento do Grupo Lazarus utilizando esta sofisticada técnica de exploração ressalta uma elevação significativa em sua capacidade de conduzir ações altamente discretas e campanhas duradouras. Esses incidentes servem como um lembrete claro dos crescentes desafios e complexidades associados às ameaças à segurança cibernética, enfatizando a necessidade sempre presente de vigilância e medidas de segurança proativas no mundo digital.
