Kuzey Kore adına çalışan hackerlar, Microsoft tarafından yakın zamanda yamalanan bir Windows sıfır gün açığını kullanarak, son derece gelişmiş ve gizli bir kötü amaçlı yazılım yüklemek için bu açığı istismar etti. Araştırmacılar, Pazartesi günü bu durumu rapor etti.
CVE-2024-38193 olarak izlenen bu güvenlik açığı, Microsoft’un geçen Salı günü aylık güncelleme sürümünde düzeltilen altı sıfır gün açığından biriydi. Microsoft, bu açığın “use after free” olarak bilinen bir sınıfta yer aldığını ve Winsock API’si için yardımcı işlev sürücüsü ve çekirdek giriş noktası olan AFD.sys adlı ikili dosyada bulunduğunu belirtti. Microsoft, sıfır gün açığının saldırganlara sistem düzeyinde ayrıcalıklar sağlayarak, Windows’ta mevcut en yüksek haklara ulaşmalarını ve güvensiz kodları çalıştırmaları için gerekli olan bu statüyü elde etmelerini sağlayabileceğini belirtti.
Lazarus Grubu Windows Çekirdeğine Erişim Sağlıyor
Microsoft, bu güvenlik açığının aktif olarak istismar edildiğini belirtti ancak saldırıların arkasında kimin olduğu veya nihai hedeflerinin ne olduğu konusunda detay vermedi. Pazartesi günü, saldırıları keşfeden ve bunları Microsoft’a özel olarak raporlayan güvenlik firması Gen’in araştırmacıları, tehdit aktörlerinin Kuzey Kore hükümeti tarafından desteklenen Lazarus adlı bir hacker grubuna ait olduğunu bildirdi.
Gen araştırmacıları, “Bu güvenlik açığı, saldırganların normal güvenlik kısıtlamalarını aşarak, çoğu kullanıcı ve yöneticinin erişemeyeceği hassas sistem alanlarına erişim sağlamalarına olanak tanıdı” diye rapor etti. “Bu tür bir saldırı, hem sofistike hem de kaynak gerektiren bir yapıya sahip olup, karaborsada birkaç yüz bin dolara mal olabilir. Bu durum endişe verici, çünkü kripto para mühendisliği veya havacılık gibi hassas alanlarda çalışan bireyleri hedef alarak, saldırganların işverenlerin ağlarına erişim sağlamayı ve kripto paraları çalarak operasyonlarını finanse etmeyi amaçlıyor.”
Pazartesi günü yayınlanan blog yazısında, Lazarus’un FudModule adlı, 2022’de iki ayrı güvenlik firması olan AhnLab ve ESET tarafından keşfedilen ve analiz edilen gelişmiş bir kötü amaçlı yazılımı yüklemek için bu açığı kullandığı belirtildi. FudModule.dll dosyasından adını alan FudModule, bir rootkit olarak bilinen bir kötü amaçlı yazılım türüdür. Windows’un derinliklerinde, o dönemde pek anlaşılamayan veya şimdi de tam olarak anlaşılamayan alanlarda etkili bir şekilde çalışabilme yeteneği ile öne çıkmaktadır. Bu yetenek, FudModule’ün hem dahili hem de harici güvenlik savunmalarının izlenmesini devre dışı bırakmasını sağladı.
Rootkitler, dosyalarını, süreçlerini ve diğer iç işleyişlerini işletim sisteminin kendisinden gizleyebilme yeteneğine sahip kötü amaçlı yazılımlar olup, aynı zamanda işletim sisteminin en derin seviyelerini kontrol edebilirler. Rootkitlerin çalışabilmesi için önce sistem düzeyinde ayrıcalıklar kazanması ve ardından doğrudan çekirdek ile etkileşimde bulunması gerekir. AhnLabs ve ESET tarafından keşfedilen FudModule varyantları, çekirdeğe erişim sağlamak için bilinen zafiyetlere sahip meşru bir sürücünün yüklenmesi anlamına gelen “kendi zafiyetli sürücünüzü getirin” tekniğini kullanarak yüklendi.
Daha Fazla Araştırma
Bu yılın başlarında, güvenlik firması Avast’tan araştırmacılar, Windows’un Temel İşlem Koruması (Protected Process Light) ve Uç Nokta Tespiti ve Yanıtı (Endpoint Detection and Response) gibi anahtar savunmalarını aşan daha yeni bir FudModule varyantı tespit etti. Avast, güvenlik açığını özel olarak bildirdikten altı ay sonra Microsoft, bu açığı yamaladı; bu süre zarfında Lazarus bu açığı kullanmaya devam etti.
Lazarus, FudModule’ün önceki sürümlerini yüklemek için “kendi zafiyetli sürücünüzü getirin” tekniğini kullanırken, Avast tarafından keşfedilen varyantı, Windows AppLocker hizmetini etkinleştiren bir sürücü olan appid.sys’teki bir hatayı istismar ederek yükledi. Avast araştırmacıları, bu saldırılarda istismar edilen Windows güvenlik açığının, üçüncü taraf kaynaklardan yüklenmek zorunda kalmadan doğrudan işletim sistemine gömülü olduğu için hackerlar için adeta kutsal bir kâse olduğunu belirtti.
Norton, Norton Lifelock, Avast ve Avira gibi markalardan oluşan bir konglomerat olan Gen, Lazarus’un CVE-2024-38193’ü ne zaman istismar etmeye başladığı, kaç kuruluşun saldırıya uğradığı ve en son FudModule varyantının herhangi bir uç nokta koruma hizmeti tarafından tespit edilip edilmediği gibi kritik ayrıntıları sağlamadı. Şirket temsilcileri e-postalara yanıt vermedi.