Nowy cyberatak wymierzony w użytkowników Windows. Grupa Lazarus znów w natarciu

Haker w kapturze pracująca przy komputerze w ciemnym pomieszczeniu z wieloma monitorami wyświetlającymi kod i dane. Kradzież kont z X to jego robota.

Cyberprzestępcy znani jako Grupa Lazarus wykorzystali lukę w systemie Windows, aby uzyskać dostęp do oprogramowania i wyłączyć narzędzia zabezpieczające. Aby chronić się przed atakiem, należy natychmiast zainstalować aktualizację, którą Microsoft udostępnił pod koniec lutego 2024 roku.

Sprawdź jak lepiej możesz chronić swoje dane

Grupa Lazarus ponownie w natarciu – Spis treści

• Atak zero-day wymierzony w użytkowników Windows
• Avast na tropie nowego ataku

Atak zero-day wymierzony w użytkowników Windows

Fot. Sora Shimazaki / Pexels

Grupa Lazarus wykorzystała lukę w jądrze systemu Windows w ramach ataku typu zero-day, aby uzyskać dostęp do systemu i wyłączyć oprogramowanie zabezpieczające na zaatakowanych hostach.

Atak zero-day to rodzaj cyberataku, który wykorzystuje nieznane wcześniej luki w oprogramowaniu lub systemie operacyjnym. „Zero-day” oznacza, że twórcy oprogramowania nie mieli czasu (dzień zerowy) na opracowanie łatek lub aktualizacji, aby załatać wykrytą lukę przed jej wykorzystaniem przez przestępców. Hakerzy wykorzystują te błędy do infiltracji systemów, kradzieży danych, instalacji złośliwego oprogramowania lub innych szkodliwych działań, zanim producent oprogramowania zdąży zareagować i zabezpieczyć system.

Jeśli zastanawiacie się, co kryje się pod tajemniczym określeniem „Grupa Lazarus”, jest to grupa przestępcza, która ma powiązania z Koreą Północną. Znana jest z przeprowadzania szeroko zakrojonych operacji cybernetycznych, a jej działalność obejmuje szeroki zakres ataków, od phishingu i rozpowszechniania złośliwego oprogramowania po zaawansowane operacje cybernetyczne przeciwko rządom, instytucjom finansowym i przedsiębiorstwom na całym świecie. W październiku 2023 roku wspominaliśmy o ataku Grupy Lazarus z wykorzystaniem LinkedIn.

Avast na tropie nowego ataku

Problem ostatniego ataku wymierzonego w użytkowników Windows opisany został przez ekspertów z firmy Avast zajmującej się cyberbezpieczeństwem. Celem tego ataku była nieznana wcześniej luka w sterowniku AppLocker, kluczowym elemencie zabezpieczeń systemu Windows, który jest odpowiedzialny za kontrolę aplikacji. Szczegółowy opis można znaleźć na blogu Avast.

Z perspektywy atakującego przejście z poziomu administratora do jądra otwiera zupełnie nowy obszar możliwości. Dzięki dostępowi na poziomie jądra osoba atakująca może zakłócić działanie oprogramowania zabezpieczającego, ukryć wskaźniki infekcji (w tym pliki, aktywność sieciową, procesy itp.), wyłączyć telemetrię trybu jądra, wyłączyć środki ochronne i nie tylko.

Fragment opisu ataku zamieszczony na blogu Avast

Avast zauważa, że ​​ta nowa taktyka exploitów oznacza znaczącą ewolucję możliwości dostępu do jądra oprogramowania, umożliwiając mu przeprowadzanie dyskretnych ataków i utrzymywanie się w zaatakowanych systemach przez dłuższy czas.

Tłumaczenie: Grupa Lazarus odkryła wykorzystanie jądra systemu Windows zero-day (CVE-2024-21338) kilka tygodni po wydaniu łatki, co umożliwiło im uzyskanie kontroli na poziomie systemu i wyłączenie oprogramowania zabezpieczającego w docelowych systemach.

Luka została naprawiona przez Microsoft w ramach aktualizacji Patch Tuesday. Jedynym skutecznym środkiem bezpieczeństwa jest jak najszybsze zastosowanie update’u, ponieważ wykorzystanie przez Lazarus wbudowanego sterownika systemu Windows sprawia, że ​​atak jest szczególnie trudny do wykrycia i zatrzymania. Wszystkie łatki bezpieczeństwa można przejrzeć i pobrać tutaj.

Sprawdź jak lepiej możesz chronić swoje dane

Źródło: oprac. własne. Zdjęcie otwierające: Gorodenkoff / Depositphotos

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Nowy cyberatak wymierzony w użytkowników Windows. Grupa Lazarus znów w natarciu pochodzi z serwisu ANDROID.COM.PL – społeczność entuzjastów technologii.