2024年8月19日,网络安全领域引发了一场震荡的消息:著名的朝鲜黑客组织Lazarus利用Windows AFD.sys驱动中的零日漏洞,成功提升系统权限并在目标计算机上安装了FUDModule根套件。这一安全事件不仅给许多企业和个人用户带来了风险,也向全球揭示了网络攻击的复杂性和隐蔽性。 在此事件中,受影响的漏洞被标记为CVE-2024-38193,是一种“自带漏洞驱动”(BYOVD)漏洞。该漏洞存在于Windows的辅助功能驱动程序AFD.sys中,作为Windows内核的进入点,处理Winsock协议。如果攻击者成功利用该漏洞,他们就可以绕过操作系统的安全机制,获得特权访问,从而进行更多恶意活动。 这一漏洞的揭露首先得益于Gen Digital的安全研究人员。
在6月的研究中,他们发现Lazarus组织正在利用AFD.sys中的隐藏安全缺陷,以达到未授权访问敏感系统区域的目的。更严重的是,攻击者还利用了一种名为FUDModule的特殊恶意软件,该软件能够隐藏其活动,从而逃避安全软件的检测。 “在早期的攻击中,我们发现Lazarus集团使用AFD.sys的漏洞来部署他们的根套件,这使得他们在被害者的计算机上几乎无法被察觉,”Gen Digital在其报告中警告说。通过这种方式,攻击者可以在不需要安装旧版易受攻击的驱动程序的情况下,轻松获得操作系统内核级别的权限。这种方法更具隐蔽性,因为AFD.sys是Windows设备的默认驱动程序,攻击者不需要通过更复杂的手段来规避检测。 此外,Gen Digital团队还确认,这次攻击与此前Google TAG披露的一个针对巴西加密货币从业者的网络攻势有直接关系。
根据Google的报告,Lazarus黑客通过虚假的工作机会接触目标,最终导致恶意软件的安装。这种策略充分显示了他们的狡猾与技术的高超。 为了实现恶意访问,Lazarus通过社交媒体向目标发送一份看似无害的PDF工作描述文件。如果目标表示有兴趣,则会收到另一份包含技能问卷及编程测试说明的PDF。在该说明中,攻击者要求目标下载并运行一个在GitHub上托管的项目,而这个项目实际上是一款经过篡改的Python应用,能够获取加密货币价格,但在特定条件下向攻击者控制的域名请求第二阶段的载荷。 Lazarus组织不仅在AFD.sys驱动上进行攻击,也曾利用Windows的appid.sys和Dell的dbutil_2_3.sys内核驱动执行BYOVD攻击,并安装FUDModule。
这一系列的攻击显示了Lazarus的多元化和适应性,能够针对不同的环境和条件选择合适的攻击手段。 Lazarus黑客组织历史上以针对金融和加密货币公司的重大网络攻击闻名,被认为是朝鲜政府用于资助其武器和网络计划的罪魁祸首之一。自2014年索尼影业被黑客攻击以来,该组织的活动愈发频繁,并于2017年发起了全球性的WannaCry勒索软件攻击,导致许多企业的运营受到严重影响。 2022年4月,美国政府将Lazarus与对Axie Infinity的网络攻击联系在一起,该攻击使得黑客盗走了超过6.17亿美元的加密货币。美国政府为了追究Lazarus的恶行,悬赏高达500万美元的信息奖励,希望借此找到并识别负责该组织的关键成员。 此次事件不仅揭示了Lazarus组织日益增长的威胁,也引发了对全球网络安全的深思。
由于漏洞的存在与复杂性,用户和组织必须更加 vigilance(警惕),采取有效的安全措施,确保他们的设备和数据安全。Microsoft在2024年8月的补丁周中也及时修复了这一零日漏洞,并对外通报了七个其他零日漏洞,以维护用户的安全。 面对Lazarus的攻击,网络安全社区呼吁加强对关键基础设施和金融系统的保护。同时,也提醒普通用户定期更新系统和软件,使用强密码以及启用双重身份验证等安全措施,以降低成为网络攻击目标的风险。 总之,Lazarus黑客组织的行为不仅是技术问题,更是安全意识和国家安全的挑战。随着网络犯罪的方式愈加复杂,各个国家的执法机构、企业和个人都需要在这个瞬息万变的网络环境中保持警觉,以应对不断演变的网络威胁。
只有加强合作、提升技术防护措施,并不断增加对网络安全的投资,才能有效抵御类似Lazarus这样的网络犯罪组织可能带来的威胁。
