Lazarus: «бессмертный» руткит с использованием драйверов Windows
Северокорейская группировка Lazarus разработала «бессмертный» руткит, используя уязвимость в драйвере Windows AppLocker.
💬 Детали:
Тип атаки: повышение привилегий
Идентификатор: CVE-2024-21338
Дата: февраль 2024 года
Жертвы: пользователи Windows
Рекомендации: обновить Windows, использовать защитные решения
👀 Что произошло:
• Обнаружена и устранена уязвимость ядра Windows (CVE-2024-21338) с оценкой CVSS 7.8.
• Lazarus использовала эту уязвимость для повышения привилегий и отключения защитных механизмов.
• Группа обновила свой руткит FudModule, добавив функции скрытности и устойчивости.
• Целями атаки стали продукты безопасности AhnLab, Windows Defender, CrowdStrike Falcon и HitmanPro.
🔥 Последствия:
• Полный доступ к памяти ядра для хакеров.
• Обход защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.
• Длительный контроль над зараженными системами.
💡 Что делать:
• Установите последние обновления Windows.
• Используйте надежные решения для защиты.
• Следите за новостями в сфере кибербезопасности.
Эта атака — пример того, как хакеры постоянно совершенствуют методы. Будьте бдительны!
#Lazarus #FudModule #данныевопасности #уязвимость
@ZerodayAlert
Северокорейская группировка Lazarus разработала «бессмертный» руткит, используя уязвимость в драйвере Windows AppLocker.
Тип атаки: повышение привилегий
Идентификатор: CVE-2024-21338
Дата: февраль 2024 года
Жертвы: пользователи Windows
Рекомендации: обновить Windows, использовать защитные решения
• Обнаружена и устранена уязвимость ядра Windows (CVE-2024-21338) с оценкой CVSS 7.8.
• Lazarus использовала эту уязвимость для повышения привилегий и отключения защитных механизмов.
• Группа обновила свой руткит FudModule, добавив функции скрытности и устойчивости.
• Целями атаки стали продукты безопасности AhnLab, Windows Defender, CrowdStrike Falcon и HitmanPro.
• Полный доступ к памяти ядра для хакеров.
• Обход защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.
• Длительный контроль над зараженными системами.
• Установите последние обновления Windows.
• Используйте надежные решения для защиты.
• Следите за новостями в сфере кибербезопасности.
Эта атака — пример того, как хакеры постоянно совершенствуют методы. Будьте бдительны!
#Lazarus #FudModule #данныевопасности #уязвимость
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
CVE-2024-21338: как Lazarus используют драйверы Windows для создания бессмертного руткита
От нового способа взлома не помогают даже защитные механизмы.
Lazarus использует уязвимость в Winsock для обхода защиты Windows
💻 Группировка Lazarus эксплуатировала уязвимость нулевого дня CVE-2024-38193 в драйвере Windows AFD.sys для повышения привилегий. Это позволило хакерам установить руткит FUDModule, который отключает функции мониторинга Windows и скрывает вредоносную активность.
🔓 Уязвимость в AFD.sys особенно опасна, так как этот драйвер установлен по умолчанию на всех устройствах с Windows. Это делает атаку типа Bring Your Own Vulnerable Driver (BYOVD) менее заметной и более эффективной, позволяя обойти защитные механизмы.
🔍 Компания Gen Digital первой обнаружила эксплуатацию уязвимости группой Lazarus. Эксперты подчеркивают, что такие атаки представляют серьезную угрозу безопасности, позволяя получить несанкционированный доступ к критически важным областям системы.
#уязвимость #Windows #Lazarus #rибербезопасность
@ZerodayAlert
#уязвимость #Windows #Lazarus #rибербезопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Драйвер-шпион от Lazarus: AFD.sys становится оружием хакеров
Lazarus эксплуатирует 0day для установки руткита.