Sa isang patungkol sa pag-unlad, mga analyst ng seguridad sa Avast ay natukoy ang isang mapagsamantalang pag-atake na isinagawa ng North Korean-based hacker collective, Lazarus Group. Matagumpay na namanipula ng mga hacker ang isang dating hindi alam na kahinaan sa loob ng operating system ng Windows, partikular na tina-target ang driver ng’appid.sys’, na mahalaga sa mga kakayahan sa pag-whitelist ng application ng Windows AppLocker. Sa pamamagitan ng pagsasamantala sa kapintasang ito, na kinilala ngayon bilang CVE-2024-21338, ang mga umaatake ay naging magagawang makamit ang pag-access sa antas ng kernel, na lubos na nagpapahusay sa kanilang kakayahang magsagawa ng mga stealth na operasyon at iwasan ang mga tradisyunal na hakbang sa seguridad.
Elaborasyon sa Pagsasamantala at Ang Epekto Nito
Gamit ang zero-day exploit na ito, in-update ng Lazarus Group ang kilalang-kilala nitong FudModule rootkit upang mapadali ang higit pa madilim na presensya sa loob ng mga nakompromisong sistema. Sa simula ay natuklasan noong huling bahagi ng 2022, ang rootkit ay dating gumamit ng isang Dell driver para sa mga operasyon nito. Gayunpaman, ang pinakabagong pag-ulit ay nagpapakita ng mga pagpapahusay sa parehong pag-iwas at paggana. Kapansin-pansin, kabilang sa mga ito ang kakayahang i-off ang mga mahalagang produkto ng seguridad tulad ng AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon, at anti-malware solution ng HitmanPro. Ang mga pagsulong na ito ay nagpapahintulot sa rootkit na magsagawa ng direktang kernel object manipulation (DKOM) na mga gawain, na nagbibigay-daan dito na itago ang mga aktibidad nito at mapanatili ang pagtitiyaga nang hindi natukoy.
Mga Panukala at Rekomendasyon sa Seguridad
Sa pagkakita ng Avast at kasunod na pag-uulat ng pagsasamantala, naglabas ang Microsoft ng patch bilang bahagi ng mga update nito noong Pebrero 2024 Patch Tuesday, na naglalayong mabawasan ang mga panganib na nauugnay sa CVE-2024-21338. Gayunpaman, napakahalaga para sa mga organisasyon at indibidwal na ipatupad kaagad ang mga patch na ito upang maprotektahan laban sa mga potensyal na paglusot. Bukod pa rito, nagbahagi ang Avast ng mga panuntunan sa YARA na idinisenyo upang tumulong sa pagtuklas ng mga aktibidad na naka-link sa na-update na bersyon ng FudModule rootkit ng Lazarus Group, na nagpapatibay ng mga depensa laban dito at sa mga potensyal na katulad na pagsasamantala.
Ang pakikipag-ugnayan ng Lazarus Group na gumagamit ng sopistikadong diskarte sa pagsasamantalang ito ay binibigyang-diin ang isang makabuluhang pagtaas sa kanilang kapasidad na magsagawa ng lubos na discrete at pangmatagalang kampanya. Ang mga insidenteng ito ay nagsisilbing isang matinding paalala ng dumaraming mga hamon at salimuot na nauugnay sa mga banta sa cybersecurity, na nagbibigay-diin sa palaging pangangailangan para sa pagbabantay at maagap na mga hakbang sa seguridad sa digital realm.
