In uno sviluppo preoccupante, gli analisti della sicurezza di Avast hanno identificato un attacco di sfruttamento condotto dal collettivo di hacker con sede in Corea del Nord, Lazarus Group. Gli hacker sono riusciti a manipolare con successo una vulnerabilità precedentemente sconosciuta all’interno del sistema operativo Windows, prendendo di mira in particolare il driver”appid.sys”, parte integrante delle funzionalità di whitelist delle applicazioni di Windows AppLocker. Sfruttando questa falla, ora identificata come CVE-2024-21338, gli aggressori sono stati in grado di ottenere l’accesso a livello di kernel, migliorando drasticamente la loro capacità di condurre operazioni invisibili ed eludere le misure di sicurezza tradizionali.
Elaborazione sull’exploit e il suo impatto
Utilizzando questo exploit zero-day, il Gruppo Lazarus ha aggiornato il suo famigerato rootkit FudModule per facilitare un più presenza oscura all’interno dei sistemi compromessi. Scoperto inizialmente alla fine del 2022, il rootkit sfruttava in precedenza un driver Dell per le sue operazioni. Tuttavia, l’ultima iterazione mostra miglioramenti sia nell’evasività che nella funzionalità. In particolare, tra questi c’è la possibilità di disattivare prodotti di sicurezza fondamentali come AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e la soluzione anti-malware di HitmanPro. Questi progressi consentono al rootkit di eseguire attività di manipolazione diretta degli oggetti del kernel (DKOM), consentendogli di nascondere le proprie attività e mantenere la persistenza non rilevata.
Misure e raccomandazioni di sicurezza
Dopo il rilevamento dell’exploit da parte di Avast e la successiva segnalazione, Microsoft ha rilasciato una patch come parte degli aggiornamenti Patch Tuesday di febbraio 2024, volti a mitigare i rischi associati a CVE-2024-21338. Tuttavia, è fondamentale che sia le organizzazioni che i singoli individui implementino tempestivamente queste patch per proteggersi da potenziali infiltrazioni. Inoltre, Avast ha condiviso le regole YARA progettate per facilitare il rilevamento di attività legate alla versione aggiornata del rootkit FudModule del gruppo Lazarus, rafforzando le difese contro questo e exploit potenzialmente simili.
L’impegno del Gruppo Lazarus nell’utilizzo di questa sofisticata tecnica di exploit sottolinea un significativo miglioramento della loro capacità di condurre comportamenti altamente discreti e campagne durature. Questi incidenti servono a ricordare duramente le crescenti sfide e le complessità associate alle minacce alla sicurezza informatica, sottolineando la necessità sempre presente di vigilanza e misure di sicurezza proattive nel regno digitale.
