Le célèbre groupe de piratage nord-coréen Lazarus a exploité une faille zero-day dans l’AFD Windows.pilote sys pour élever les privilèges et installer le rootkit FUDModule sur les systèmes ciblés.

Microsoft a corrigé la faille, suivie comme CVE-2024-38193 lors de son Patch Tuesday d’août 2024, ainsi que sept autres vulnérabilités zero-day.

CVE-2024-38193 est une vulnérabilité BYOVD (Apportez votre propre pilote vulnérable) dans le Pilote de fonction auxiliaire Windows pour WinSock (AFD.sys), qui agit comme un point d’entrée dans le noyau Windows pour le protocole Winsock.

La faille a été découverte par des chercheurs de Gen Digital, qui affirment que le groupe de piratage Lazarus a exploité l’AFD.faille système en tant que jour zéro pour installer le rootkit FUDModule, utilisé pour échapper à la détection en désactivant les fonctionnalités de surveillance de Windows.

« Début juin, Luigino Camastra et Milanek ont découvert que le groupe Lazarus exploitait une faille de sécurité cachée dans une partie cruciale de Windows appelée AFD.pilote sys », a averti le général Digital.

« Cette faille leur a permis d’accéder sans autorisation à des zones sensibles du système. Nous avons également découvert qu’ils utilisaient un type spécial de malware appelé Fudmodule pour masquer leurs activités aux logiciels de sécurité. »

Une attaque Bring Your Own Vulnerable Driver se produit lorsque des attaquants installent des pilotes avec des vulnérabilités connues sur des machines ciblées, qui sont ensuite exploitées pour obtenir des privilèges au niveau du noyau. Les auteurs de menaces abusent souvent des pilotes tiers, tels que les pilotes antivirus ou matériels, qui nécessitent des privilèges élevés pour interagir avec le noyau.

Ce qui rend cette vulnérabilité particulière plus dangereuse, c’est que la vulnérabilité était dans AFD.sys, un pilote installé par défaut sur tous les périphériques Windows. Cela a permis aux auteurs de menaces de mener ce type d’attaque sans avoir à installer un pilote plus ancien et vulnérable qui peut être bloqué par Windows et facilement détecté.

Le groupe Lazarus a déjà abusé de l’identifiant d’application Windows.système et Dell dbutil_2_3.pilotes du noyau sys dans les attaques BYOVD pour installer FUDModule.

Le groupe de piratage Lazarus
Bien que Gen Digital n’ait pas partagé de détails sur les personnes ciblées par l’attaque et le moment où les attaques ont eu lieu, Lazarus est connu pour cibler des sociétés financières et de crypto-monnaie dans des cyber-voleurs d’un million de dollars utilisés pour financer les programmes d’armes et de cyber-programmes du gouvernement nord-coréen.

Le groupe a gagné en notoriété après le piratage de chantage de Sony Pictures en 2014 et la campagne mondiale de ransomware WannaCry de 2017 qui a crypté des entreprises du monde entier.

En avril 2022, le gouvernement américain a lié le groupe Lazarus à une cyberattaque contre Axie Infinity qui a permis aux acteurs de la menace de voler pour plus de 617 millions de dollars de crypto-monnaie.

Le gouvernement américain offre une récompense pouvant aller jusqu’à 5 millions de dollars pour des conseils sur l’activité malveillante des pirates informatiques de la RPDC afin de les identifier ou de les localiser.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *