IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

نصب روت‌کیت توسط هکرهای Lazarus با نقص روز صفر درایور ویندوز

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir windows driver zero day exploited by lazarus hackers to install rootkit
گروه هک Lazarus کره شمالی از یک نقص روز صفر (Zero-Day) در درایور Windows AFD.sys برای افزایش اختیارات و نصب روت کیت FUDModule بر روی سیستم‌های هدف سواستفاده نموده است.

مایکروسافت این نقص را که تحت عنوان CVE-2024-38193 در پچ سه‌شنبه آگوست ٢٠٢٤ رد‌یابی شد، همراه با هفت آسیب‌پذیری روز صفر دیگر برطرف کرد.

آسیب‌پذیری CVE-2024-38193، یک آسیب‌پذیری Bring Your Own Vulnerable Driver (BYOVD) در درایور فانکشن کمکی ویندوز برای WinSock (AFD.sys) است که به عنوان یک نقطه ورود به کرنل ویندوز برای پروتکل Winsock عمل می‌کند.

این نقص توسط محققان Gen Digital کشف شد که می‌گویند گروه هک Lazarus از نقص AFD.sys به عنوان یک روز صفر برای نصب روت‌کیت FUDModule استفاده می‌کند که برای فرار از شناسایی همراه با خاموش کردن ویژگی‌های نظارت ویندوز استفاده می‌شود.

مجموعه Gen Digital هشدار داد: «در اوایل ژوئن، محققان لوییجینو کاماسترا و می‌لانک متوجه شدند که گروه Lazarus از یک نقص امنیتی پنهان در بخش مهمی از ویندوز به نام درایور AFD.sys استفاده می‌کند».

این مجموعه افزود: «این نقص به آنها امکان دسترسی غیرمجاز به مناطق حساس سیستم را داده است. ما همچنین متوجه شدیم که آنها از نوع خاصی از بدافزار به نام Fudmodule برای مخفی کردن فعالیت‌های خود از دید نرم‌افزار‌های امنیتی استفاده می‌کنند».

حمله درایور آسیب‌پذیر، زمانی است که مهاجمان درایور‌هایی با آسیب‌پذیری‌های شناخته شده را روی دستگاه‌های هدف نصب می‌کنند، که سپس برای به دست آوردن اختیارات در سطح کرنل مورد سواستفاده قرار می‌گیرند. عوامل تهدید اغلب از درایور‌های شخص ثالث مانند درایور‌های آنتی ویروس یا سخت‌افزار سواستفاده می‌کنند که برای تعامل با کرنل به اختیارات بالایی نیاز دارند.

چیزی که این آسیب‌پذیری خاص را خطرناک‌تر می‌کند این است که این آسیب‌پذیری در AFD.sys، درایوری که به طور پیش‌فرض روی همه دستگاه‌های ویندوز نصب می‌شود، وجود داشت. این مسئله به عوامل تهدید اجازه داد تا این نوع حمله را بدون نیاز به نصب درایور آسیب‌پذیر قدیمی‌تر که ممکن است توسط ویندوز مسدود شده و به راحتی شناسایی شود، انجام دهند.

گروه Lazarus قبلا از درایور‌های کرنل Windows appid.sys و Dell dbutil_2_3.sys در حملات BYOVD برای نصب FUDModule سواستفاده کرده است.

گروه هک لازاروس
در‌حالی‌که Gen Digital جزئیاتی در مورد اینکه چه کسی در این حمله هدف قرار گرفته و چه زمانی حملات رخ داده است را به اشتراک نگذاشته است، Lazarus گروهی بود که شرکت‌های مالی و رمزارز را در حملات سایبری چندین میلیون دلاری خود، مورد هدف قرار داد. طبق این گزارش، منابع مالی به سرقت رفته برای تامین مالی برنامه‌های تسلیحاتی و سایبری دولت کره شمالی استفاده می‌شود.

این گروه پس از هک باج‌گیری سونی پیکچرز در سال ٢٠١٤ و کمپین جهانی باج‌افزار WannaCry در سال ٢٠١٧ که کسب و کارها را در سراسر جهان رمزگذاری می‌کرد، شهرت یافت.

در آوریل ٢٠٢٢، دولت ایالات متحده گروه Lazarus را به یک حمله سایبری به Axie Infinity مرتبط دانست که به عوامل تهدید اجازه داد بیش از ٦١٧ میلیون دلار ارز دیجیتال را سرقت کنند.

دولت ایالات متحده برای راهنمایی در مورد فعالیت مخرب هکر‌های کره شمالی برای کمک به شناسایی یا یافتن آنها تا ۵ میلیون دلار جایزه تعیین نموده است.

برچسب ها: Winsock, CVE-2024-38193, FUDModule, AFD.sys, BYOVD, Driver, درایور, کرنل, روت‌کیت, لازاروس, Lazarus, kernel, باج‌افزار, روز صفر, cybersecurity, Hack, رمزارز, Rootkit, آسیب‌پذیری, windows, Vulnerability, malware, ransomware , cryptocurrency, جاسوسی سایبری, هک, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل