吳明宜研究人員發現,微軟本周修補的一個零時差漏洞,其實是遭北韓駭客濫用以植入進階難以察覺的惡意程式 FudModule 。
CVE-2024-38193 是微軟本月 Patch Tuesday 修補的 6 個 Windows 零時差漏洞之一。這是一個 Windows Ancillary Function (AFD.sys) Driver for WinSock 的「使用已釋放記憶體 (use after free)」漏洞。 AFD.sys 檔是 Winsock API 的核心入口。微軟警告,濫用本漏洞可使攻擊者取得 System 權限,而執行未受信任的程式碼。
當時微軟只說漏洞遭到濫用,但沒有提供攻擊者或攻擊事件的細節,也未提供入侵指標。周一安全廠商 Gen 研究人員發佈報告指出,攻擊者是知名北韓駭客組織 Lazarus 的一份子。 Gen 是由多家廠商包括 Norton 、 Norton Lifelock 、 Avast 及 Avira 組成的資安公司。
研究人員指出,該漏洞讓攻擊者得以繞過安全限制,並存取大部份用戶和管理員無法到達的敏感系統區。「這類攻擊既高明又昂貴,在黑市可能要價數萬美元。而且此次攻擊鎖定身份敏感人物,像是加密貨幣或航太圈的工程師,取得其驗證資料以入侵公司網路,並竊取加密貨幣。」
研究人員指出,Lazarus 在受害公司網路植入進階的惡意程式名為 FudModule 。 FudModule.dll 是一種 rootkit,它最大特點是能在 Windows 深處,這種能力讓它得以關閉內、外部安全防護產品的監控。
不過,Gen 研究人員並未提供本次攻擊的細節,包括 Lazarus 何時發動攻擊、多少組織遭到鎖定、以及是否由端點安全防護產品發現最新版 FudModule 。
其他安全廠商如 AhnLabs 、 ESET 發現的 FudModule 使用名為「自帶漏洞驅動程式 (bring your own vulnerable driver)」的手法,利用具有漏洞的合法驅動程式來存取 Windows 核心。今年稍早防毒廠商 Avast 發現 FudModule 新變種,可繞過 Windows EDR 或 Protected Process Light 防護。在 Avast 通報後 6 個月間微軟皆沒有動作,才讓 Lazarus 有機可乘。
Avast 和 Gen 發現到 FudModule 濫用的驅動程式不同,前者是使用 Windows AppLocker 服務的驅動程式 appid.sys 。由於 appid.sys 是 Windows 內建而非外部而來,研究人員認為此一攻擊為「駭客攻擊的聖杯」。
來源:Ars Technica