آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • گروه هکری Lazarus از آسیب پذیری Zero Day در درایورهای ویندوز بهره‌برداری کرده‌اند تا یک rootkit نصب کنند.

گروه هکری Lazarus از آسیب پذیری Zero Day در درایورهای ویندوز بهره‌برداری کرده‌اند تا یک rootkit نصب کنند.

گروه هکری معروف کره شمالی به نام Lazarus  از یک نقص امنیتی ناشناخته در درایور AFD.sys ویندوز بهره‌برداری کرده‌اند تا سطح دسترسی خود را ارتقاء داده و روت‌کیت FUDModule را بر روی سیستم‌های هدف نصب کنند.

مایکروسافت این نقص امنیتی که به‌عنوان CVE-2024-38193 شناخته می‌شود را در طول به‌روزرسانی Patch Tuesday ماه آگوست ۲۰۲۴، به همراه هفت آسیب‌پذیری روز صفر دیگر، برطرف کرد.

یک آسیب‌پذیری از نوع ‘Bring Your Own Vulnerable Driver’ (BYOVD) در درایور کمکی عملکرد ویندوز برای WinSock( به نام AFD.sys ) است که به‌عنوان نقطه ورود به هسته ویندوز برای پروتکل WinSock عمل می‌کند.

این نقص توسط محققان شرکت Gen Digital کشف شد. آن‌ها می‌گویند که گروه هکری لازاروس از نقص AFD.sys به‌عنوان یک روزنه امنیتی ناشناخته (Zero-day) سوءاستفاده کرده و روت‌کیت FUDModule را نصب کرده‌اند که برای فرار از شناسایی، با خاموش کردن ویژگی‌های نظارتی ویندوز استفاده می‌شود.

شرکت Gen Digital هشدار داد که در اوایل ماه ژوئن، Luigino Camastra و Milanek  کشف کردند که گروه Lazarus  در حال سوءاستفاده از یک نقص امنیتی پنهان در بخش حیاتی ویندوز به نام درایور  AFD.sys بودند.

این نقص امنیتی به هکرها اجازه دسترسی غیرمجاز به نواحی حساس سیستم را داده و آن‌ها با استفاده از یک بدافزار به نام Fudmodule توانسته‌اند فعالیت‌های خود را از دید نرم‌افزارهای امنیتی مخفی نگه دارند.

حمله ‘Bring Your Own Vulnerable Driver’ (BYOVD) زمانی رخ می‌دهد که مهاجمان درایورهایی با آسیب‌پذیری‌های شناخته‌شده را روی ماشین‌های هدف نصب می‌کنند، سپس از این آسیب‌پذیری‌ها برای به‌دست آوردن دسترسی در سطح هسته (Kernel) سوءاستفاده می‌شود. مهاجمان اغلب از درایورهای شخص ثالث، مانند درایورهای آنتی‌ویروس یا سخت‌افزار، که نیاز به دسترسی بالا برای تعامل با هسته دارند، سوءاستفاده می‌کنند.

آنچه این آسیب‌پذیری خاص را خطرناک‌تر می‌کند این است که این آسیب‌پذیری در AFD.sys وجود داشت، که یک درایور است که به‌طور پیش‌فرض روی همه دستگاه‌های ویندوز نصب می‌شود. این امر به مهاجمان اجازه داد تا این نوع حمله را بدون نیاز به نصب یک درایور قدیمی و آسیب‌پذیر که ممکن است توسط ویندوز مسدود و به راحتی شناسایی شود، انجام دهند.

گروه هکری Lazarus  قبلاً از درایورهای آسیب‌پذیر appid.sys ویندوز و dbutil_2_3.sys شرکت Dell در حملات BYOVD استفاده کرده است تا بدافزار FUDModule را نصب کنند.

گروه هکری Lazarus

در حالی که شرکت Gen Digital جزئیاتی درباره اینکه چه کسانی در این حمله هدف قرار گرفته‌اند و زمان وقوع حملات را منتشر نکرد، گروه Lazarus  به دلیل هدف قرار دادن شرکت‌های مالی و رمزارزی در سرقت‌های سایبری میلیون دلاری که برای تأمین مالی برنامه‌های تسلیحاتی و سایبری دولت کره شمالی استفاده می‌شود، شناخته شده است.

این گروه پس از هک باج‌افزاری Sony Pictures در سال ۲۰۱۴ و کمپین جهانی باج‌افزار WannaCry در سال ۲۰۱۷ که کسب‌وکارهای جهانی را رمزگذاری کرد، به شهرت رسید.

در آوریل ۲۰۲۲، دولت ایالات متحده گروه Lazarus  را به یک حمله سایبری به Axie Infinity مرتبط دانست که به مهاجمان اجازه داد بیش از ۶۱۷ میلیون دلار ارز دیجیتال سرقت کنند.

دولت ایالات متحده پاداشی به ارزش حداکثر ۵ میلیون دلار برای اطلاعاتی درباره فعالیت‌های مخرب هکرهای کره شمالی (DPRK) ارائه می‌دهد تا به شناسایی یا پیدا کردن آن‌ها کمک کند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب