APT Lazarus Mengeksploitasi Zero-Day di Driver Windows untuk Mendapatkan Kernel Privileges

APT Lazarus Mengeksploitasi Zero-Day di Driver Windows untuk Mendapatkan Kernel Privileges

Posted by : Admin , Mar 18, 2024
Kelompok APT Lazarus, yang berkaitan dengan Korea Utara, mengeksploitasi kerentanan zero-day pada driver Windows AppLocker (appid.sys) untuk mendapatkan akses kernel-level pada sistem targetnya. Kerentanan ini dilacak sebagai CVE-2024-21338 yang memungkinkan untuk memanipulasi pengirim Input and Output Control (IOCTL) driver, memungkinkan eksekusi kode sewenangwenangnya dan melewati langkah-langkah keamanan yang ada. Eksploitasi ini digunakan untuk memperbarui rootkit FudModule mereka, yang sekarang dapat menangguhkan proses yang berkaitan dengan perangkat lunak keamanan seperti Microsoft Defender dan CrowdStrike Falcon. Dengan terungkapnya zero-day ini, kemampuan Lazarus untuk menerobos keamanan menjadi terhambat, memaksa mereka untuk memilih antara menemukan eksploitasi baru atau kembali ke taktik lama. Para peneliti telah menerbitkan Indicators of Compromise (IoC) dan YARA rules untuk mendeteksi versi terbaru dari rootkit ini yang bisa diterapkan.

Sumber https://securityaffairs.com/159728/apt/lazarus-exploited-zero-day-windows-applocker-driver.html