Lazarus hackers
イメージミッドジャーニー

悪名高い北朝鮮のハッキング・グループLazarusは、Windows AFD.sysドライバのゼロデイ欠陥を悪用して特権を昇格させ、標的のシステムにFUDModuleルートキットをインストールした。

マイクロソフトは、8月2024日のパッチ・チューズデーで、CVE-2024-38193として追跡されているこの欠陥を、他の7つのゼロデイ脆弱性とともに修正した。

CVE-2024-38193は、WinSockプロトコル用のWindowsカーネルへのエントリー・ポイントとして機能するWinSock用Windows補助機能ドライバ(AFD.sys)におけるBYOVDBring Your Own Vulnerable Driver)の脆弱性である。

この欠陥はGen Digitalの研究者によって発見されたもので、Lazarusのハッキング・グループはゼロデイとしてAFD.sysの欠陥を悪用し、Windowsの監視機能をオフにすることで検知を回避するFUDModuleルートキットをインストールしたという。

「6月上旬、Luigino CamastraとMilanekは、LazarusグループがAFD.sysドライバと呼ばれるWindowsの重要な部分の隠れたセキュリティ欠陥を悪用していることを発見した

「この欠陥によって、彼らは機密性の高いシステム領域に不正アクセスすることができた。我々はまた、彼らがFudmoduleと呼ばれる特殊なマルウェアを使用して、セキュリティソフトウェアから自分たちの活動を隠していることを発見した。”

Bring Your Own Vulnerable Driver攻撃とは、攻撃者が既知の脆弱性を持つドライバを標的のマシンにインストールし、それを悪用してカーネルレベルの特権を獲得することである。攻撃者は、ウイルス対策ドライバやハードウェア・ドライバなど、カーネルとやりとりするために高い特権を必要とするサードパーティ製ドライバを悪用することが多い。

この脆弱性がより危険なのは、すべてのWindowsデバイスにデフォルトでインストールされているドライバーであるAFD.sysに脆弱性があったことだ。これにより、脅威者は、Windowsによってブロックされ、容易に検出される可能性のある、古い脆弱なドライバーをインストールすることなく、この種の攻撃を行うことができた。

Lazarusグループは、以前にもBYOVD攻撃でWindowsのappid.sysと Dellのdbutil_2_3.sysカーネル・ドライバを 悪用してFUDModuleをインストールしています。

Lazarusハッキング・グループ

Gen Digitalは、今回の攻撃で標的となった人物や攻撃が発生した時期についての詳細は明らかにしていないが、Lazarusは、北朝鮮政府の兵器やサイバー・プログラムの資金源となる100万ドル規模のサイバーハイストで、金融や暗号通貨企業を標的にしていることで知られている。

このグループは、2014年のソニー・ピクチャーズの脅迫ハッキングや、2017年の世界的なランサムウェア「WannaCry」キャンペーンで悪名を馳せ、世界中の企業を暗号化した。

2022年4月、米国政府はLazarusグループとAxie Infinityへのサイバー攻撃を関連付け、脅威行為者が6億1700万ドル相当の暗号通貨を盗むことを可能にした。

米国政府は、朝鮮民主主義人民共和国のハッカーの悪質な活動に関する情報を提供し、彼らの特定や所在の特定に協力した場合、最高500万ドルの報奨金を提供している