朝鲜黑客集团拉撒路(Lazarus)正在活跃使用Windows安全漏洞建议进犯

本月微软在发布的安全更新中修正多个高危安全缝隙，其间部分缝隙现已遭到黑客运用，例如 CVE-2024-38193 缝隙就现已被朝鲜黑客集团拉撒路 (Lazarus) 运用建议进犯。

该缝隙归于典型的开释后运用 (Use-after-Free) 类别，坐落 Windows 辅佐功用驱动程序 (AFD.sys) 的二进制文件中，该文件也是 Winsock API 的内核接入点。

在成功挖掘并运用该缝隙后黑客能够获得体系级操作权限，包含 Windows 体系中最大的体系权限也便是 SYSTEM 权限以及能够履行不受信赖的代码。

安全研讨人员称建议进犯的乃是拉撒路集团：

微软在缝隙安全公告中的确说到该缝隙现已遭到活跃运用，但并未泄漏运用该缝隙的黑客集团代号，不过开始发现该缝隙的安全研讨人员称建议进犯的是拉撒路集团。

Gen (发现并向微软陈述缝隙的安全研讨公司) 表明，该缝隙答应进犯者绕过正常的安全约束并拜访大多数用户和管理员都无法拜访的灵敏体系区域，这种进犯杂乱而又奸刁，在黑市上或许价值数十万美元。

通常情况下挖掘此类缝隙并建议进犯的黑客都有强壮的布景，而且也只对特定方针建议进犯，例如从事加密钱银工程 (即开发加密钱银体系的工程师们) 或航空范畴作业的人。

研讨人员泄漏自己的溯源和追寻成果，拉撒路集团正在运用该缝隙装置名为 FudModule 的歹意软件，该歹意软件非常杂乱，在 2022 年时现已被 AhnLab 和 ESET 的研讨人员发现。

拉撒路布置的归于 rookit 歹意软件：

FudModule 是安全研讨人员为这款歹意软件起得姓名，其导出表中有个文件名为 FudModule.dll，所以就拿这个姓名对这个歹意软件进行命名。

捷克安全公司 Avast 则在本年早些时候发现了 FudModule 的变种版别，该变种能够绕过 Windows 体系的要害防护办法，例如绕过端点检测和呼应以及受维护的进程。

值得注意的是 Aavst 也泄漏在该公司向微软通报后，后者花了 6 个月才完结缝隙的修正，这导致拉撒路集团的进犯时刻延长了半年。

这个变种版别还运用 appid.sys 中的缝隙进行装置，该驱动文件是 Windows AppLocker 服务的驱动程序，该服务也是被 Windows 体系预装的，因而黑客用来装置变种版别会变得更轻松。