Gli esperti di sicurezza di Avast hanno scoperto un attacco informatico di tipo BYOVD (Bring Your Own Vulnerable Driver) orchestrato dal noto gruppo di hacker nordcoreani che rispondono al nome di Lazarus Group. Secondo i ricercatori, il gruppo ha sfruttato una vulnerabilità zero-day presente nel driver AppLocker di Windows (appid.sys) per ottenere l'accesso al kernel aggirando le misure di sicurezza di Windows.
Avast ha prontamente segnalato la scoperta a Microsoft, che ha risolto la falla nell'ambito del Patch Tuesday di febbraio 2024. Tuttavia, l'azienda non ha classificato questa vulnerabilità come zero-day.
Il Lazarus Group ha utilizzato la vulnerabilità, ora identificata come CVE-2024-21338, per migliorare il suo rootkit FudModule, già noto dal 2022. Questa versione aggiornata presenta notevoli miglioramenti in termini furtività e funzionalità, eludendo efficacemente le protezioni di sicurezza del sistema operativo attaccato.
Avast ha anche scoperto un nuovo trojan di accesso remoto (RAT), precedentemente sconosciuto, che è stato utilizzato di recente dal Lazarus Group. La società condividerà ulteriori dettagli su questo RAT al BlackHat Asia di aprile.
Come detto in precedenza, il malware sfrutta una vulnerabilità nel driver "appid.sys" manipolando il dispatcher Input and Output Control (IOCTL) per eseguire codice non sicuro, aggirando i controlli di sicurezza. Il rootkit FudModule, integrato con l'exploit, ha operato manipolazioni dirette degli oggetti del kernel (DKOM) per disattivare le misure di sicurezza dell'OS e garantire persistenza sul sistema violato.
Tra le difese bypassate dall'attacco troviamo AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon e HitmanPro. La nuova versione del rootkit presenta funzionalità avanzate, come la capacità di manipolare processi protetti da Protected Process Light (PPL), miglioramenti nella manomissione di Driver Signature Enforcement e Secure Boot.
Al momento, l'unico modo efficace per proteggersi è applicare immediatamente gli aggiornamenti del Patch Tuesday di febbraio 2024.