Lazarus атакует через драйвер Windows

Хакерская группа Lazarus вновь нашла способ обойти системы безопасности. На этот раз они использовали уязвимость в драйвере Windows AFD.sys, который является стандартной частью системы и работает с сетевым протоколом Winsock. Это дало хакерам возможность повысить свои привилегии в системе и установить руткит FUDModule, который отключает стандартные функции мониторинга и скрывает вредоносную активность.

Уязвимость, получившая обозначение CVE-2024-38193 с оценкой риска 7.8, была обнаружена экспертами из Gen Digital. Особую опасность представляет тот факт, что атака не требует установки дополнительных компонентов: злоумышленники используют уже встроенный в систему драйвер, что делает их действия менее заметными для защитных систем.

Такой подход к атакам, называемый Bring Your Own Vulnerable Driver (BYOVD), ранее уже использовался Lazarus для установки руткитов через другие уязвимые драйверы, такие как appid.sys и dbutil_2_3.sys. В этом случае уязвимость в AFD.sys позволяет атаковать системы напрямую, без необходимости обхода дополнительных барьеров безопасности.

Информация о конкретных целях атаки и времени ее проведения не разглашается, что делает ситуацию еще более тревожной для всех пользователей Windows. Особенно опасно это для крупных корпораций и государственных организаций, которые могут стать жертвами незаметных кибератак.