Recientemente, investigadores han informado que el grupo estatal norcoreano Lazarus Group utilizó un zero-day de Windows AppLocker, junto con un rootkit nuevo y mejorado, en un ciberataque reciente.
Microsoft ha actualizado una vulnerabilidad zero-day en su software de lista blanca de aplicaciones AppLocker, pero no antes de que el grupo respaldado por el estado norcoreano Lazarus Group pudiera aprovechar la falla para llevar a cabo un ciberataque de rootkit.
Investigadores de Avast descubrieron la vulnerabilidad zero-day de Microsoft, rastreada bajo CVE-2024-21338, y explicaron que permitió a Lazarus utilizar una versión actualizada de su malware rootkit propietario llamado “FudModule” para cruzar el límite de administrador al kernel, según un nuevo informe.
La zero-day fue corregida el 13 de febrero como parte de la actualización de Patch Tuesday de febrero de Microsoft, y Avast publicó detalles de la explotación el 29 de febrero.
Es importante destacar que los analistas de Avast informaron que FudModule ha sido potenciado con nuevas funcionalidades, incluida una característica que suspende los procesos de luz de proceso protegido (PPL) que se encuentran en las plataformas de Microsoft Defender, Crowdstrike Falcon y HitmanPro.
Además, el Lazarus Group abandonó su táctica anterior de utilizar su propio controlador vulnerable (BYOVD) para saltar de administrador a kernel utilizando un enfoque de explotación zero-day más directo, explicó el equipo.
Avast también descubrió un nuevo troyano de acceso remoto (RAT) de Lazarus, sobre el cual el proveedor se compromete a publicar más detalles más adelante.
“Aunque sus tácticas y técnicas de firma son bien conocidas en este momento, aún ocasionalmente logran sorprendernos con una sofisticación técnica inesperada,” dijo el informe de Avast. “El rootkit FudModule sirve como el ejemplo más reciente, representando una de las herramientas más complejas que posee Lazarus en su arsenal.”