سوءاستفاده هکرهای لازاروس از آسیب‌پذیری روز صفر در درایور ویندوز

گروه هکری لازاروس از نقص امنیتی ناشناخته در درایور ویندوز برای نفوذ به سیستم‌های کامپیوتری و نصب برنامه‌ی مخرب قدرتمندی به نام روت‌کیت استفاده کرده‌اند.

به‌گزارش تک‌ناک، گروه هکری لازاروس از آسیب‌پذیری روز صفر در درایور AFD.sys ویندوز برای افزایش امتیازات و نصب روت‌کیت FUDModule روی سیستم‌های هدف سوءاستفاده کرد. مایکروسافت این آسیب‌پذیری که با نام CVE-2024-38193 ردیابی می‌شود، در پچ Tuesday ماه آگوست ۲۰۲۴ همراه با هفت آسیب‌پذیری دیگر روز صفر برطرف کرد.

CVE-2024-38193 آسیب‌پذیری نوع BYOVD (مخفف Bring Your Own Vulnerable Driver) در درایور تابع کمکی ویندوز برای WinSock (AFD.sys) است که به‌عنوان نقطه‌ی ورود به هسته‌ی ویندوز برای پروتکل Winsock عمل می‌کند.

بلیپینگ‌کامپیوتر می‌نویسد که این آسیب‌پذیری را محققان Gen Digital کشف کردند. آن‌ها می‌گویند که گروه هکری لازاروس از آسیب‌پذیری AFD.sys به‌عنوان آسیب‌پذیری روز صفر برای نصب روت‌کیت FUDModule سوءاستفاده کرد. این برنامه برای جلوگیری از تشخیص با خاموش‌کردن ویژگی‌های نظارت ویندوز استفاده می‌شود.

حمله‌ی BYOVD زمانی اتفاق می‌افتد که مهاجمان درایورهایی با آسیب‌پذیری‌های شناخته‌شده روی دستگاه‌های هدف نصب می‌کنند. سپس از آن برای به‌دست‌آوردن امتیازات سطح هسته سوءاستفاده می‌کنند. هکرها اغلب از درایورهای شخص ثالث مانند آنتی‌ویروس یا درایورهای سخت‌افزار سوءاستفاده می‌کنند که برای تعامل با هسته به امتیازات دسترسی حساس نیاز دارند.

آنچه این آسیب‌پذیری خاص را خطرناک‌تر می‌کند، این است که آسیب‌پذیری در AFD.sys وجود داشت؛ درایوری که به‌طور پیش‌فرض روی تمام دستگاه‌های ویندوز نصب می‌شود. این امر به هکرها اجازه داد تا این نوع حمله را بدون نیاز به نصب درایور قدیمی و آسیب‌پذیر که ممکن است ویندوز مسدود کند و به‌راحتی تشخیص‌دادنی باشد، انجام دهند.

گوگل می‌گوید که هکرهای اهل کره‌شمالی لازاروس که آن‌ها را به‌عنوان PUKCHONG (UNC4899) نسبت می‌دهند، متخصصان ارز دیجیتال برزیلی را با فرصت‌های شغلی جعلی هدف قرار دادند که در‌نهایت به نصب بدافزار منجر شد. گروه لازاروس همچنین در حملات دیگر BYOVD از درایورهای هسته‌ی Windows appid.sys و Dell dbutil_2_3.sys سوءاستفاده کرده‌اند تا FUDModule را نصب کنند.