2024-03-15 | TWCERT
資安廠商Avast近日發表技術報告指出,北韓所屬駭客Lazarus利用Windows作業系統內AppLocker相關驅動程式(appid.sys)zeroday漏洞,取得系統核心(kernel)權限,用以關閉系統內安全防護機制,藉以規避異常BYOVD(Bring Your Own Vulnerable Driver)告警,降低異常行為遭察覺的可能性。
另外,在調查過程當中亦發現關聯至Lazarus族群之惡意程式樣本,包含經過升級版本的FudModule rootkit、新型態的後門等,可躲避Microsoft Defender與CrowdStrike Falcon等偵測防護機制;另提供FudModule相關yara規則可供自我檢測確認自身是否有所影響。
該弱點對應編號為CVE-2024-21338,微軟已納入排程(February Patch)並於近日完成修補,建議企業組織能即時完成作業系統更新,提高資安防護能力,減少遭利用攻擊並造成損失之風險。
