El grupo Lazarus ha vuelto a ser noticia tras descubrirse su más reciente hazaña en el campo de la ciberseguridad: la explotación de una vulnerabilidad zero-day en Windows para obtener acceso total al kernel del sistema. Este ataque no solo pone de manifiesto las sofisticadas capacidades técnicas del grupo sino que también enciende las alarmas sobre la importancia de la seguridad informática en nuestra era digital.
A través de este artículo, exploraremos cómo fue posible este ataque, las consecuencias que tiene para usuarios y empresas, y qué medidas podemos tomar para protegernos de amenazas similares en el futuro.
El grupo norcoreano conocido como Lazarus explotó una vulnerabilidad en el controlador AppLocker de Windows (appid.sys), identificada como un zero-day, para lograr acceso a nivel de kernel y desactivar herramientas de seguridad. Este método les permitió eludir técnicas de inyección de controladores vulnerables conocidas como BYOVD.
Analistas de Avast detectaron esta actividad y notificaron de inmediato a Microsoft, resultando en una corrección incluida en el paquete de actualizaciones de seguridad de febrero de 2024, ahora identificada como CVE-2024-21338. A pesar de esto, Microsoft no ha confirmado oficialmente que la vulnerabilidad fue explotada como un zero-day.
Avast también reveló que Lazarus usó CVE-2024-21338 para mejorar su rootkit FudModule, documentado inicialmente por ESET a finales de 2022, incorporando una primitiva de lectura/escritura en el kernel. Este rootkit había utilizado previamente un controlador de Dell en ataques BYOVD.
La versión actualizada de FudModule mejora en sigilo y funcionalidad, incluyendo técnicas avanzadas para evadir la detección y desactivar protecciones de seguridad como Microsoft Defender y CrowdStrike Falcon.
Al analizar más a fondo la cadena de ataque, Avast descubrió un troyano de acceso remoto (RAT) no documentado previamente, utilizado por Lazarus.
Conoce más sobre: Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas
El grupo Lazarus capitalizó una falla en 'appid.sys', un controlador de Microsoft esencial para el AppLocker de Windows, diseñado para gestionar listas blancas de aplicaciones. Mediante la manipulación del despachador de Control de Entrada/Salida (IOCTL) en 'appid.sys', lograron ejecutar código arbitrario, eludiendo así los mecanismos de seguridad establecidos.
El rootkit FudModule, desarrollado como parte del exploit, permite realizar manipulaciones directas de los objetos del kernel (DKOM) con el fin de deshabilitar soluciones de seguridad, ocultar sus trazas y asegurar su persistencia en los sistemas infectados.
Entre los objetivos específicos del rootkit se encuentran soluciones de seguridad como AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon y HitmanPro.
La versión más reciente del rootkit FudModule ha incorporado técnicas avanzadas de sigilo y capacidades mejoradas, incluyendo la manipulación de procesos protegidos por Protección de Procesos Ligeros (PPL), la interrupción selectiva mediante DKOM, y estrategias mejoradas para eludir el Enforcement de Firmas de Controladores y el Arranque Seguro, entre otras.
Avast destaca que esta nueva estrategia de explotación representa una evolución crucial en las técnicas de acceso al kernel por parte de Lazarus, permitiéndoles ejecutar ataques más sigilosos y mantenerse en los sistemas afectados por tiempos extendidos.
La aplicación inmediata de las actualizaciones proporcionadas en el paquete de parches de febrero de 2024 es la defensa más efectiva contra este ataque, dada la dificultad de detectar y contrarrestar la explotación de un controlador nativo de Windows por parte de Lazarus.
Te podrá interesar: Explorando los 7 Grupos de Hackers Más Temidos en 2023