سوءاستفاده هکرهای لازاروس از آسیبپذیری روز صفر در درایور ویندوز
گروه هکری لازاروس از نقص امنیتی ناشناخته در درایور ویندوز برای نفوذ به سیستمهای کامپیوتری و نصب برنامهی مخرب قدرتمندی به نام روتکیت استفاده کردهاند. بهگزارش تکناک، گروه هکری لازاروس از آسیبپذیری روز صفر در درایور AFD.sys ویندوز برای افزایش امتیازات و نصب روتکیت FUDModule روی سیستمهای هدف سوءاستفاده کرد. مایکروسافت این آسیبپذیری که با... نوشته سوءاستفاده هکرهای لازاروس از آسیبپذیری روز صفر در درایور ویندوز اولین بار در تک ناک - اخبار دنیای تکنولوژی. پدیدار شد.
گروه هکری لازاروس از نقص امنیتی ناشناخته در درایور ویندوز برای نفوذ به سیستمهای کامپیوتری و نصب برنامهی مخرب قدرتمندی به نام روتکیت استفاده کردهاند.
بهگزارش تکناک، گروه هکری لازاروس از آسیبپذیری روز صفر در درایور AFD.sys ویندوز برای افزایش امتیازات و نصب روتکیت FUDModule روی سیستمهای هدف سوءاستفاده کرد. مایکروسافت این آسیبپذیری که با نام CVE-2024-38193 ردیابی میشود، در پچ Tuesday ماه آگوست ۲۰۲۴ همراه با هفت آسیبپذیری دیگر روز صفر برطرف کرد.
CVE-2024-38193 آسیبپذیری نوع BYOVD (مخفف Bring Your Own Vulnerable Driver) در درایور تابع کمکی ویندوز برای WinSock (AFD.sys) است که بهعنوان نقطهی ورود به هستهی ویندوز برای پروتکل Winsock عمل میکند.
بلیپینگکامپیوتر مینویسد که این آسیبپذیری را محققان Gen Digital کشف کردند. آنها میگویند که گروه هکری لازاروس از آسیبپذیری AFD.sys بهعنوان آسیبپذیری روز صفر برای نصب روتکیت FUDModule سوءاستفاده کرد. این برنامه برای جلوگیری از تشخیص با خاموشکردن ویژگیهای نظارت ویندوز استفاده میشود.
حملهی BYOVD زمانی اتفاق میافتد که مهاجمان درایورهایی با آسیبپذیریهای شناختهشده روی دستگاههای هدف نصب میکنند. سپس از آن برای بهدستآوردن امتیازات سطح هسته سوءاستفاده میکنند. هکرها اغلب از درایورهای شخص ثالث مانند آنتیویروس یا درایورهای سختافزار سوءاستفاده میکنند که برای تعامل با هسته به امتیازات دسترسی حساس نیاز دارند.
آنچه این آسیبپذیری خاص را خطرناکتر میکند، این است که آسیبپذیری در AFD.sys وجود داشت؛ درایوری که بهطور پیشفرض روی تمام دستگاههای ویندوز نصب میشود. این امر به هکرها اجازه داد تا این نوع حمله را بدون نیاز به نصب درایور قدیمی و آسیبپذیر که ممکن است ویندوز مسدود کند و بهراحتی تشخیصدادنی باشد، انجام دهند.
گوگل میگوید که هکرهای اهل کرهشمالی لازاروس که آنها را بهعنوان PUKCHONG (UNC4899) نسبت میدهند، متخصصان ارز دیجیتال برزیلی را با فرصتهای شغلی جعلی هدف قرار دادند که درنهایت به نصب بدافزار منجر شد. گروه لازاروس همچنین در حملات دیگر BYOVD از درایورهای هستهی Windows appid.sys و Dell dbutil_2_3.sys سوءاستفاده کردهاند تا FUDModule را نصب کنند.
آشنایی با گروه هکری لازاروس
گروه هکری لازاروس به هدف قراردادن شرکتهای مالی و ارز دیجیتال در سرقتهای سایبری میلیوندلاری شناخته میشود. از این منابع مالی نامشروع برای تأمین مالی سلاحها و برنامههای سایبری دولت کرهشمالی استفاده میشود. این گروه پس از هک بلکمیل در سال ۲۰۱۴ در Sony Pictures و کمپین جهانی باجافزار WannaCry در سال ۲۰۱۷ که مشاغل سراسر جهان را رمزگذاری کرد، شهرت پیدا کرد.
در آوریل ۲۰۲۲، دولت ایالات متحده گروه لازاروس را با حملهای سایبری به Axie Infinity مرتبط کرد. در این حمله آنها بیش از ۶۱۷ میلیون دلار ارز دیجیتال را سرقت کردند. دولت ایالات متحده برای افشای اطلاعاتی از فعالیت مخرب هکرهای DPRK که به شناسایی یا مکانیابی آنها کمک کند، پاداشی حداکثر ۵ میلیون دلاری میپردازد.
نوشته سوءاستفاده هکرهای لازاروس از آسیبپذیری روز صفر در درایور ویندوز اولین بار در تک ناک - اخبار دنیای تکنولوژی. پدیدار شد.
واکنش شما چیست؟
