Hackers norte-coreanos, membros do conhecido Lazarus Group, recentemente lançaram um ataque sofisticado aproveitando uma falha no driver do Windows AppLocker (appid.sys), abrindo caminho para acessos em nível de kernel e desativação de ferramentas de segurança. Esta atividade criminosa foi meticulosamente descoberta e relatada pelos analistas da Avast, uma renomada empresa de segurança cibernética.
A técnica empregada pelos hackers, conhecida como BYOVD (Bring Your Own Vulnerable Driver, ou traga seu próprio driver vulnerável, em português), permitiu que contornassem produtos de segurança, penetrando em sistemas com uma precisão assustadora.
A detecção precoce dessa atividade suspeita permitiu à Avast notificar a Microsoft, que agiu rapidamente lançando uma correção para a falha, agora identificada como CVE-2024-21338, como parte do Patch Tuesday de fevereiro.
No entanto, surpreendentemente, a Microsoft não classificou a vulnerabilidade como uma exploração de dia zero, embora tenha sido claramente utilizada como tal pelo Lazarus Group.
A análise da Avast revelou que o Lazarus aproveitou a CVE-2024-21338 para desenvolver um kernel primitivo para aprimorar seu rootkit FudModule. Este rootkit, inicialmente documentado pela ESET no final de 2022, agora apresenta melhorias significativas em termos de furtividade e funcionalidade.
Entre as novas capacidades do FudModule está a habilidade de desligar proteções de segurança como o Microsoft Defender e o CrowdStrike Falcon, além de ocultar suas próprias atividades maliciosas com eficácia.
A Avast também descobriu, durante sua investigação, um trojan de acesso remoto (RAT) até então não documentado, utilizado pelo Lazarus Group. Mais detalhes sobre este malware serão compartilhados pela empresa de segurança no evento BlackHat Asia em abril, proporcionando uma visão mais aprofundada sobre as táticas cada vez mais complexas dos cibercriminosos.
O modus operandi do Lazarus Group envolveu a exploração de uma vulnerabilidade no driver ‘appid.sys’ da Microsoft, componente essencial do Windows AppLocker, que fornece recursos de listagem de permissões de aplicativos.
A exploração dessa falha permitiu aos hackers manipular o despachante de controle de entrada e saída do driver appid.sys, enganando o kernel para executar código inseguro, contornando assim as verificações de segurança.
A nova versão do rootkit FudModule, segundo a Avast, está repleta de recursos furtivos e capacidades expandidas, incluindo a capacidade de persistir em sistemas comprometidos por períodos prolongados.
Com melhorias na violação de Driver Signature Enforcement e Secure Boot, além de habilidades aprimoradas para desligar produtos de segurança e ocultar atividades maliciosas, este malware representa uma séria ameaça para a segurança cibernética.
Diante desse cenário preocupante, a Avast enfatiza que a única medida eficaz de proteção é a aplicação imediata das atualizações do Patch Tuesday de fevereiro de 2024. A exploração de um driver integrado do Windows pelo Lazarus Group torna o ataque extremamente difícil de detectar e interromper, destacando a importância crítica de manter os sistemas atualizados com os patches mais recentes da Microsoft.
A ACSoftware é Parceira da ManageEngine no Brasil e pode oferecer soluções de segurança cibernética e gerenciamento de TI para empresas brasileiras que buscam fortalecer sua soberania digital, também possuímos serviços de consultoria e implantação de soluções de segurança da informação da ManageEngine, ajudando as empresas a desenvolver estratégias personalizadas de segurança cibernética que se adaptem às suas necessidades específicas.
ACSoftware Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.