Nhóm Hacker khét tiếng Lazarus đến từ Triều Tiên đã khai thác một lỗ hổng bảo mật “zero-day” trong hệ điều hành Windows để leo thang đặc quyền nhầm tấn công người dùng. Đây là một phần trong chiến dịch tấn công của họ sử dụng rootkit mang tên FudModule.
Lỗ hổng này, mang mã hiệu CVE-2024-21338, được Avast phát hiện trong các cuộc tấn công của Lazarus vào năm ngoái. Công ty này đã tạo ra một bản khai thác thử nghiệm (PoC) và gửi báo cáo đến Microsoft vào tháng 8 năm 2023.
Microsoft đã vá lỗ hổng trong đợt cập nhật bảo mật “Thứ Ba vá lỗi” (Patch Tuesday) vào tháng 2 năm 2024. Tuy nhiên, thông báo ban đầu về CVE-2024-21338 không đề cập đến việc nó đã bị khai thác trong thực tế. Vào thứ Tư, “gã khổng lồ” công nghệ này đã cập nhật thông báo để cảnh báo khách hàng tình trạng khai thác vẫn đang diễn ra.
Bài đăng trên blog của Avast vào thứ Tư vừa qua cung cấp mô tả kỹ thuật chi tiết về lỗ hổng và cách Lazarus đã lợi dụng CVE này để phát tán rootkit. Vị trí bị tấn công nằm ở driver ‘appid.sys’ liên quan đến tính năng bảo mật AppLocker của Microsoft. Thay vì tự càii driver độc hại (BYOVD), Hacker sẽ nhắm vào một driver có sẵn trong nhiều hệ thống để tránh bị phát hiện.
Rootkit là một loại phần mềm độc hại (malware) được thiết kế để ẩn sự tồn tại của nó hoặc các phần mềm độc hại khác trong hệ thống máy tính. Rootkit thâm nhập sâu vào hệ thống với quyền truy cập cấp cao (root hoặc administrator), cho phép Hacker kiểm soát toàn bộ hệ thống mà không bị phát hiện. Rootkit có thể gây ra nhiều vấn đề bảo mật, bao gồm việc đánhcắp thông tin cá nhân, giám sát hoạt động của người dùng, và cài đặt thêm malware khác. Do khả năng ẩn giấu cao, rootkit rất khó để phát hiện và loại bỏ.
Avast giải thích: “Bằng cách khai thác lỗ hổng như vậy, Hacker hạn chế tối đa việc lưu hoặc tải các driver độc hại khác”. Việc này giúp Hacker tấn công vào nhân hệ thống (kernel) nên có thể qua mặt hầu hết các cơ chế phát hiện và thậm chí hoạt động được trên các hệ thống áp dụng kiểm soát driver.
Thông qua CVE-2024-21338, tin tặc Lazarus đã nâng cao quyền User trên hệ thống bị xâm nhập và tạo ra cơ chế đọc/ghi trực tiếp cấp nhân hệ điều hành. Chiêu trò này cho phép chúng thao túng trực tiếp các đối tượng kernel trong phiên bản cập nhật của rootkit FudModule (xuất hiện năm 2022).
Phiên bản rootkit mới có các cải tiến giúp tăng cường độ ẩn mình và vô hiệu hóa các phần mềm bảo mật AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon và HitmanPro.
Chiến dịch Lazarus do Avast theo dõi còn sử dụng một trojan truy cập từ xa (RAT) mới, thông tin chi tiết sẽ do hãng công bố sau.