Il recente exploit Windows Zero Day è stato effettuato da Lazarus Group, un gruppo di hacker sostenuto dal governo nordcoreano. Ciò ha consentito loro di installare malware avanzato.
Secondo quanto riferito, Windows Zero Day (CVE-2024-38193), recentemente aggiornato da Microsoft, è stato sfruttato da un gruppo di hacker che lavora per conto del governo nordcoreano. Lo hanno scoperto i ricercatori di Gen, la società di sicurezza che si è accorta della vulnerabilità e l’ha segnalata a Microsoft. Zero-day ha consentito a questi autori malintenzionati di installare malware personalizzato noto come rootkit, un tipo di malware che si insinua in profondità nel sistema operativo. Questo sofisticato malware costerebbe centinaia di migliaia di dollari sul mercato nero.
Lazzaro
Microsoft ha allora avvertito che la vulnerabilità, descritta come CVE-2024-38193, veniva sfruttata attivamente. La società non ha fornito dettagli al momento su chi si nascondesse dietro l’attacco e quale fosse il suo obiettivo. Investigatori della società di sicurezza Il gene Si è scoperto che i malintenzionati facevano parte di Lazarus, un gruppo di hacker che operava per conto del governo nordcoreano.
Leggi anche
Una vulnerabilità nelle applicazioni Microsoft consente ai malintenzionati di spiare gli utenti Mac
“All’inizio di giugno, Luigino Camastra e Milanek hanno scoperto che il gruppo Lazarus stava sfruttando una vulnerabilità nascosta in una parte critica di Windows chiamata driver AFD.sys. Questa vulnerabilità consentiva loro di ottenere un accesso non autorizzato ad aree sensibili del sistema ha permesso loro di ottenere accesso non autorizzato ad aree sensibili del sistema”, hanno affermato i ricercatori in un post sul blog. Abbiamo anche scoperto che utilizzavano un tipo speciale di malware chiamato Fudmodule per nascondere le loro attività ai software di sicurezza.
Rootkit
“FudModule” è un tipo di malware noto come rootkit, un tipo di malware. Un rootkit penetra in profondità nel sistema operativo e può nascondere file, processi e altri meccanismi interni al sistema operativo stesso. Affinché un rootkit possa svolgere il proprio lavoro, deve prima acquisire i privilegi di sistema e poi comunicare direttamente con il kernel, l’area del sistema operativo dedicata alle sue funzioni più sensibili.
Il rootkit “FudModule” viene installato in base al “Porta il tuo autista debole‘, che comporta l’installazione di un driver legittimo che contiene vulnerabilità note di accesso al kernel. “Questo tipo di attacco è sofisticato e innovativo e può costare centinaia di migliaia di dollari sul mercato nero”, hanno detto i ricercatori.
Microsoft ne ha rilasciato uno Toppa Per risolvere queste debolezze. L’azienda consiglia agli utenti di dare la priorità all’aggiornamento dei propri sistemi.