A vulnerabilidade, rastreada como CVE-2024-38193 e marcada como “ativamente explorada” pela Microsoft, permite privilégios de SISTEMA nos sistemas operacionais Windows mais recentes.
Gen, que é um rollup das marcas Norton, Avast, LifeLock e Avira, publicou uma nota vinculando a exploração ao Lazarus por meio do uso do rootkit FudModule. No entanto, a empresa não divulgou nenhum indicador ou documentação técnica para dar suporte à conexão.
“No início de junho, Luigino Camastra e Milanek descobriram que o grupo Lazarus estava explorando uma falha de segurança oculta em uma parte crucial do Windows chamada driver AFD.sys. Essa falha permitiu que eles obtivessem acesso não autorizado a áreas sensíveis do sistema. Também descobrimos que eles usaram um tipo especial de malware chamado Fudmodule para ocultar suas atividades do software de segurança”, disse a empresa sem fornecer detalhes adicionais.
A Avast documentou anteriormente o FudModule como parte do kit de ferramentas Lazarus APT que incluía uma exploração de zero-day do Windows de administrador para Kernel que remonta a fevereiro.
Este é um dos seis zero-days marcados como explorados pela Microsoft no pacote Patch Tuesday de agosto. Especialistas em segurança também acreditam que uma segunda falha (CVE-2024-38178) está sendo usada por grupos APT norte-coreanos para atingir vítimas na Coreia do Sul.
Esse bug, uma vulnerabilidade de corrupção de memória no Windows Scripting Engine, permite ataques de execução remota de código se um cliente autenticado for enganado para clicar em um link. A exploração bem-sucedida dessa vulnerabilidade exige que um invasor primeiro prepare o alvo para que ele use o Edge no Modo Internet Explorer.
Esse zero-day do Scripting Engine foi relatado pelo Ahn Lab e pelo National Cyber Security Center da Coreia do Sul, sugerindo que foi usado em um comprometimento de APT de estado-nação. A Microsoft não divulgou IOCs (indicadores de comprometimento) ou quaisquer outros dados para ajudar os defensores a procurar sinais de infecções.
Para saber mais, clique aqui.