北韓Lazarus駭客組織利用零日漏洞獲取Windows最高權限

2024 / 03 / 04

編輯部

北韓駭客組織Lazarus利用Windows系統的新零日漏洞，成功獲取目標系統的內核級最高權限。
這個漏洞，編號CVE-2024-21338，存在於Windows系統的AppLocker安全功能中，AppLocker原本用來控管系統上能執行哪些應用程式。一旦利用CVE-2024-21338漏洞，只要有管理員權限，駭客就能越級提權到內核層，操控整個系統的最深層級。

Avast公司表示，擁有內核權限，駭客即可破壞防護軟體、隱藏入侵蹤跡，關閉系統防護等，造成嚴重危害。

研究人員發現，Lazarus組織利用FudModule這種rootkit惡意程式，先取得系統存取權，再進行其他攻擊行為。他們還升級了rootkit的技術，更隱密、更難偵測，能繞過Windows Defender、CrowdStrike等多款防護工具。

Avast認為FudModule是Lazarus組織最複雜的攻擊利器，最新的升級技術也證明他們積極持續開發這款rootkit。

雖然報告未透露此次攻擊的目標對象和成效，但Avast認為Lazarus組織依舊是全球最活躍、最資深的駭客組織。儘管手法已經廣為人知，但他們的技術水準仍不時令人驚訝。

除了這次利用漏洞的攻擊行動，Lazarus最近還針對軟體開發者於Python社群中散布惡意開源程式碼。Lazarus也對南韓司法系統發動攻擊。南韓警方上個月從該國最高法院扣押了據稱去年遭Lazarus入侵的伺服器，目前這些伺服器仍在調查中。

根據分析，去年Lazarus組織攻擊加密平台數量創新高，被盜資產高達10億美元。

本文轉載自TheRecord。

CVE-2024-21338 內核權限安全繞過 rootkit