2022洛克王国回归必练宠物-朝鲜黑客集团拉撒路(Lazarus)正在积极利用Windows安全漏洞发起攻击 – 蓝点网

#安全资讯 朝鲜黑客集团拉撒路 (Lazarus) 正在积极利用 Windows 中的朝鲜高危安全漏洞，该漏洞在微软修复前已经遭到利用。黑客发现该漏洞并通报给微软022洛克王国回归必练宠物研究人员称攻击者是集团极利朝鲜的黑客集团拉撒路，该集团利用此漏洞攻击高价值目标，拉撒路L漏洞蓝点例如从事加密货币工程和航天航空领域的正积人。查看全文：https://ourl.co/105503

本月微软在发布的安全安全更新中修复多个高危安全漏洞，其中部分漏洞已经遭到黑客利用，发起例如 CVE-2024-38193 漏洞就已经被朝鲜黑客集团拉撒路 (Lazarus) 利用发起攻击。攻击

该漏洞属于典型的朝鲜释放后使用 (Use-after-Free) 类别，位于 Windows 帮助功能驱动程序 (AFD.sys) 的黑客二进制文件中，该文件也022洛克王国回归必练宠物 Winsock API 的集团极利内核接入点。

在成功开采并利用该漏洞后黑客可以获得系统级操作权限，拉撒路L漏洞蓝点包罗 Windows 系统中最大的正积系统权限也就是 SYSTEM 权限以及可以执行不受信任的代码。

安全研究人员称发起攻击的安全乃是拉撒路集团：

微软在漏洞安全公告中确实提到该漏洞已经遭到积极利用，但并未透露利用该漏洞的发起黑客集团代号，不过最初发现该漏洞的安全研究人员称发起攻击的是拉撒路集团。

Gen (发现并向微软报告漏洞的安全研究公司) 暗示，该漏洞允许攻击者绕过正常的安全限制并拜访大多数用户和办理员都无法拜访的敏感系统区域，这种攻击复杂而又狡猾，在暗盘上可能价值数十万美元。

通常情况下开采此类漏洞并发起攻击的黑客都有强大的背景，并且也只对特定目标发起攻击，例如从事加密货币工程 (即开发加密货币系统的工程师们) 或航空领域工作的人。

研究人员透露自己的溯源和追踪结果，拉撒路集团正在利用该漏洞安装名为 FudModule 的恶意软件，该恶意软件非常复杂，在 2022 年时已经被 AhnLab 和 ESET 的研究人员发现。

拉撒路摆设的属于 rookit 恶意软件：

FudModule 是安全研究人员为这款恶意软件起得名字，其导出表中有个文件名为 FudModule.dll，所以就拿这个名字对这个恶意软件进行命名。

捷克安全公司 Avast 则在今年早些时候发现了 FudModule 的变种版本，该变种可以绕过 Windows 系统的关键防御办法，例如绕过端点检测和响应以及受保护的进程。

值得注意的是 Aavst 也透露在该公司向微软通报后，后者花了 6 个月才完成漏洞的修复，这导致拉撒路集团的攻击时间延长了半年。

这个变种版本还使用 appid.sys 中的漏洞进行安装，该驱动文件是 Windows AppLocker 办事的驱动程序，该办事也是被 Windows 系统预装的，因此黑客用来安装变种版本会变得更轻松。