Драйвер-шпион от Lazarus: AFD.sys становится оружием хакеров

Группировка Lazarus использовала уязвимость нулевого дня в драйвере Windows AFD.sys для повышения привилегий и установки руткита FUDModule, который отключает функции мониторинга Windows и позволяет скрывать вредоносную активность. Драйвер Windows AFD.sys используется для работы с протоколом Winsock и служит точкой входа в ядро операционной системы.

Недостаток CVE-2024-38193 (оценка CVSS: 7.8) был устранен в рамках августовского Patch Tuesday. CVE-2024-38193 выделяется на фоне остальных тем, что позволяет провести атаку типа Bring Your Own Vulnerable Driver (BYOVD). В этом случае злоумышленники устанавливают на целевые системы драйверы с уязвимостями, чтобы затем использовать их для получения привилегий на уровне ядра.

Особая опасность уязвимости в AFD.sys заключается в том, что драйвер установлен по умолчанию на всех устройствах с Windows. Это позволяет хакерам атаковать системы, не прибегая к установке старых уязвимых драйверов, которые могут быть заблокированы и легко обнаружены защитными механизмами Windows. Таким образом, эксплуатация уязвимости становится менее заметной и более эффективной.

Впервые уязвимость обнаружила компания Gen Digital. Специалисты отметили, что группа Lazarus использовала ошибку для установки руткита FUDModule, который способен скрывать свои действия от средств защиты. Эксперты подчёркивают, что такие атаки представляют серьёзную угрозу для безопасности, так как они позволяют злоумышленникам получить несанкционированный доступ к критически важным областям системы.

Gen Digital не разглашает подробности о том, кто стал целью атаки и когда она произошла. Стоит отметить, что группа Lazarus уже использовала подобные методы в прошлом, эксплуатируя уязвимые драйверы appid.sys и dbutil_2_3.sys для установки FUDModule.