Lazarus Group slaat op kernelniveau toe via Windows AppLocker-driver

De hackers van de Lazarus Group hebben via een zeroday-kwetsbaarheid in de Windows AppLocker-driver ingebroken op systemen en toegang verkregen op kernelniveau. Via een verbeterde versie van de eigen rootkit konden zij op de getroffen systemen security-tools uitzetten.

Volgens onderzoek van Avast stelde een zeroday-kwetsbaarheid in de Windows AppLocker-driver (appid.sys) de Lazarus Group in staat op kernelniveau toegang te krijgen tot getroffen systemen. Meer specifiek werd hierbij de kwetsbaarheid CVE-2024-21338 misbruikt voor het verspreiden van de geüpdatete versie van de eigen Lazarus FudModule-rootkit. Deze rootkit gebruikte eerder een Dell-driver voor het uitvoeren van zogenoemde Bring Your Own Vulnerable Driver (BYOVD)-aanvallen.

De nu verbeterde versie van de FudModule-rootkit is onzichtbaarder dan de vorige versie en biedt ook meer functionaliteit. Bijvoorbeeld voor het uit de weg gaan van detectietechnieken en het uitzetten van security-tools op de getroffen systemen. Het betreft voornamelijk security-tooling Microsoft Defender, CrowdStrike Falcon, AhnLab V3 Endpoint Security en de antimalware-oplossingen van HitmanPro.

Aanvalspad voor kerneltoegang

Meer gedetailleerd richt de verbeterde malware zich op de ‘appid.sys‘-driver in Windows. Het aanvalspad van de Lazarus Group-hackers verloopt via het manipuleren van de Input and Output Control (IOCTL)-dispatcher in de bewuste driver. Deze specifieke dispatcher wordt overgehaald om een call te maken naar een willekeurige pointer en zo de kernel ervan te overtuigen onveilige code uit te voeren. Dat verklaart waarom de security-tools worden omzeild.

Vervolgens zorgt de FudModule-rootkit ervoor dat direct kernel object manipulatie (DKOM)-activiteiten worden uitgevoerd. De zetten de security-tools uit, verbergen kwaadaardige activiteiten en zorgen voor persistence op de getroffen systemen.