潜伏在黑暗中的威胁:Lazarus Group 与其最新的恶意程式
文章重点
Lazarus Group 利用 Windows 的零日漏洞进行恶意攻击。微软已修复 CVE202421338 漏洞,但这一漏洞的严重性未受到足够关注。Lazarus Group 持续进化,使用更隐蔽的手段来保持对目标的控制。专家指出,许多漏洞的威胁性未必在于其高评级,而是它们在实际攻击中的应用。最近,严名的朝鲜黑客组织 Lazarus Group 被观察到利用一个管理到内核的零日 Windows 漏洞,这一漏洞一经利用,便可让攻击者执行各种恶意操作,包括干扰软件运行、掩盖感染迹象以及禁用内核级的监控功能。
海鸥加速器v6.63根据 Avast 在 2 月 29 日发布的博文,微软已在 2 月的 Patch Tuesday 中修补了这一漏洞 CVE202421338。研究人员表示,这次攻击的目标是建立一个内核读/写原语,这段代码可用于构建更复杂的程序或介面。
Avast 的研究人员指出,这一原语使得 Lazarus 能够在其更新版的仅数据 FudModule 根套件中执行直接内核对象操作,旧版本则由 ESET 和 AhnLab 进行过分析。
在彻底逆向工程完成后,Avast 确认了这一更新版根套件在功能和隐蔽性方面的显著改进。
此外,这家安全公司强调,更新后的根套件与 Lazarus 过去使用的“噪音更大”的自携漏洞驱动BYOVD技术有所不同。研究人员表示,Lazarus Group 仍然是最活跃及持久的进阶持续性威胁APT行为者之一,尽管团体的标志性战术和技术已被广泛认识,但它仍然会不时以意想不到的技术成熟度让研究人员感到惊讶。
“FudModule 根套件作为最新范例,代表了 Lazarus 在其工具库中拥有的最复杂工具之一,”研究人员写道。“本博文中考察的最新更新显示了 Lazarus 在积极开发这款根套件上的承诺。”
Menlo Security 的首席安全架构师 Lionel Litty 表示,研究显示出高度复杂的攻击者仍然渴望获得端点的内核级控制,并且愿意投资时间和精力来达到这一目的。一旦获得控制,Litty 强调他们可以随意操作机器,并可轻易机制设备状态检查,这对基于零信任的安全模型构成威胁,因为伺服器依赖客户端代理来判断端点的可靠性。一旦满意,伺服器可能会信任此端点存取机密资讯和敏感数据,以信赖端点软体来保护这些数据。
“在这里,攻击者可以欺骗代理使其看上去端点是正常的即使代理正在监控所有加载到内
