Gli hacker Lazarus sfruttano una falla 0-day di un driver Windows per installare rootkit

Il gruppo nordcoreano ha sfruttato una vulnerabilità che Microsoft ha già corretto con il Patch Tuesday di agosto per installare il rootkit FUDmodule. Al momento non sono noti gli obiettivi dell'attacco
di Andrea Bai pubblicata il 20 Agosto 2024, alle 09:16 nel canale SicurezzaWindows
Il famigerato gruppo hacker nordcoreano Lazarus si è reso autore di una nuova operazione che ha preso di mira il cuore del sistema operativo Windows, sfruttando una vulnerabilità zero-day nel driver AFD.sys per ottenere l’accesso al sistema con permessi elevati e installare il rootkit noto come FUDModule.
Al momento non sono noti quali possano essere gli obiettivi specifici di questa nuova campagna del gruppo Lazarus, che è conosciuto per prendere solitamente di mira realtà finanziarie e piattaforme di criptovalute, con l'obiettivo di raccogliere fondi per supportare finanziariamente i programmi militari e tecnologici della Corea del Nord.
L'operazione è stata individuata nei mesi scorsi dai ricercatori Lugino Camastra e Milanek di Gen Digital, che hanno evidenziato come Lazarus abbia sfruttato la vulnerabilità nel driver AFD.sys per installare FUDModule, un rootkit progettato per sfuggire al rilevamento disabilitando le funzioni di monitoraggio di Windows.
La vulnerabilità, tracciata con il codice CVE-2024-38193, è stata già risolta da Microsoft nel corso del Patch Tuesday di agosto 2024. Insieme a questa, sono state corrette altre vulnerabilità zero-day e un totale di 90 vulnerabilità complessive.

Ciò che rende particolarmente insidioso il nuovo attacco di Lazarus è la natura della falla sfruttata: una vulnerabilità di tipo Bring Your Own Vulnerable Driver (BYOVD) nel Windows Ancillary Function Driver for WinSock, comunemente noto come AFD.sys: si tratta di un componente per il sistema operativo Windows dal momento che rappresenta un punto d’ingresso nel kernel per il protocollo Winsock, elemento fondamentale per le comunicazioni di rete.
Questo attacco BYOVD si differenzia dagli altri per il fatto che la vulnerabilità era presente in un driver installato di default su tutti i dispositivi Windows, consentendo a Lazarus di operare senza dover installare driver più datati e vulnerabili che possono esseere facilmente intercettabili dai sistemi di sicurezza moderni. La tecnica testimonia un passo avanti nella qualità delle operazoni del gruppo, che in passato è già stato autore di attacchi BYOVD sfruttando driver come appid.sys e Dell dbutil_2_3.sys per la diffusione di FUDModule.
La fama di Lazarus ha radici profonde, risalenti all'attacco del 2014 contro Sony Pictures e alla devastante campagna ransomware WannaCry del 2017. Più recentemente, nell'aprile 2022, il gruppo è stato collegato a un furto di oltre 617 milioni di dollari in criptovaluta, sottratti alla piattaforma Axie Infinity.
Le azioni criminali di Lazarus hanno spinto il governo degli Stati Uniti a offrire una ricompensa fino a 5 milioni di dollari a chiunque possa fornire informazioni utili a identificare o localizzare gli hacker nordcoreani.
15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infohttps://www.youtube.com/watch?v=ZnBtozelWgc
la ragazza che viaggiava da sola ha fatto Beijing (Pechino) => Pyongyang e si è girata con la scorta di un paio di accompagnatrici (obbligatorie) diverse località dello Korea. Molte bello il reportage del 2021. Frontiera passata senza problemi, al ritorno in treno qualche lungaggine al confine cinese, con controlli stretti.
L'aereo dell'andata era della Korea del Nord. Interessante che in Korea del nord si tengano ogni tanto dei concerti di K-pop sud koreani, non l'avrei detto sentendo la propaganda occidentale su quel paese.
È un altro passo per annientare i nord-coreani: il K-pop della sud-corea è un'arma di distruzione di massa, io lo so bene che guardo da quasi vent'anni i kdrama (sottotitolati eng), spesso costretto ad abbassare/levare l'audio quando incominciano a "cantare" delle vere coliche...
Ma volontariamente o costretto? I kdrama sono amati soprattutto dalle donne.
Tra l'altro nel video della ragazza (o altri video della serie) dice che ogni cittadino ha un cellulare ma che non hanno Internet ma hanno una intranet.
No, volontariamente, soprattutto quelli polizieschi, thriller, azione, ecc.: ho iniziato tanto tempo fa perché non ne potevo più delle serie americane, tutte uguali nel volerti fare il lavaggio del cervello, nel volerti imporre una morale che dovresti adottare nella vita reale altrimenti sei "cattivo"
Certo, ora gli USA stanno cercando di inquinare "semanticamente" pure le produzioni coreane finanziate da Netflix e Disney Plus.
Certo, ora gli USA stanno cercando di inquinare "semanticamente" pure le produzioni coreane finanziate da Netflix e Disney Plus.
Io non guardo più di 20-30 minuti di video, quindi una serie per me è fuori portata, comunque interessante.
https://www.youtube.com/watch?v=ZnBtozelWgc
[...]
Già visto, ma molto interessante...praticamente ho visto tutto quello che c'è disponibile riguardo la DPRK, era un viaggio in programma prima del Covid, pensa quanto hanno tenuti chiusi i loro confini...comunque per la precisione riaprono al turismo a partire da Dicembre 2024 ! Non è un viaggio per tutti, ma sicuramente interessante, se si parte con il giusto "atteggiamento"....
Tornando alla notizia...beh...ci mancherebbe, il patch day mensile Microsoft per quanto possa essere occasionalmente problematico, è comunque importante, lasciare sistemi "scoperti" senza patch è ovviamente sconsigliabile, ma quello che ho scritto dovrebbe essere un'ovvietà per tutti.
Sotto questo punto di vista spezzo sempre una lancia a favore di Microsoft, sistemi come Windows XP, Windows 7 e i vari Windows 10 LTSC IoT sono stati e sono praticamente eterni in quanto a supporto. Windows 7 per l'appunto è nell'ultimo anno di aggiornamenti per i possessori di supporto esteso, ed uscito nel 2009, hai detto niente.
Ho controllato, pare che un paio di agenzie cinesi abbiano avuto contatti ufficiali che hanno parlato di dicembre 2024 ma ancora non ci sono comunicazioni ufficiali sulla data.
Se sei interessato a un altro paese cui la propaganda occidentale si scaglia con tutta la sua potenza mediatica di fuoco, l'Iran, ci sono video veramente divertenti e significativi su come è la vita da quelle parti.
Una ragazza molto carina più italiana che persiana fa video su tiktok e ha una serie di video del suo viaggio a Teheran (la sua città
https://www.tiktok.com/@shaeybhrm
Molto interessante vedere cosa vuol dire indossare (si fa per dire) il velo per le iraniane. Certo è obbligatorio come lei dice nei commenti ma diciamo che la cosa non è proprio seria.
Un commento diceva: «Il velo e poi la pancia di fuori.. mah» e lei rispondeva: «Shaey · Creator - Se non sei mai stata nel MIO paese e non sai come ci si veste allora evita di rompere sotto i miei video <3»
Tra l'altro lei e alcune ragazze si tolgono il velo quando sono fuori da certe zone della città.
Insomma questa questione del velo non è come la raccontano i telegiornali.
Se sei interessato a un altro paese cui la propaganda occidentale si scaglia con tutta la sua potenza mediatica di fuoco, l'Iran, ci sono video veramente divertenti e significativi su come è la vita da quelle parti.
Una ragazza molto carina più italiana che persiana fa video su tiktok e ha una serie di video del suo viaggio a Teheran (la sua città
https://www.tiktok.com/@shaeybhrm
Molto interessante vedere cosa vuol dire indossare (si fa per dire) il velo per le iraniane. Certo è obbligatorio come lei dice nei commenti ma diciamo che la cosa non è proprio seria.
Un commento diceva: «Il velo e poi la pancia di fuori.. mah» e lei rispondeva: «Shaey · Creator - Se non sei mai stata nel MIO paese e non sai come ci si veste allora evita di rompere sotto i miei video <3»
Tra l'altro lei e alcune ragazze si tolgono il velo quando sono fuori da certe zone della città.
Insomma questa questione del velo non è come la raccontano i telegiornali.
Già solo il fatto di OBBLIGARE le donne a indossare il velo si meriterebbero di sparire come Stato, eppure… è una “cultura” e non si può toccare??
Ma fatemi il piacere… sono piu indietro della preistoria!!
E NO, non credo siano contente le donne di vestirsi in quel modo, tanto è vero che appena possono non lo usano.
Poi cosa vuol dire “non sei mai stato nel MIO paese non sai come ci si veste…” e allora facciamo che quando vengono qui nel NOSTRO paese ci si veste diversamente??
Se sei interessato a un altro paese cui la propaganda occidentale si scaglia con tutta la sua potenza mediatica di fuoco, l'Iran, ci sono video veramente divertenti e significativi su come è la vita da quelle parti.
Una ragazza molto carina più italiana che persiana fa video su tiktok e ha una serie di video del suo viaggio a Teheran (la sua città
https://www.tiktok.com/@shaeybhrm
Molto interessante vedere cosa vuol dire indossare (si fa per dire) il velo per le iraniane. Certo è obbligatorio come lei dice nei commenti ma diciamo che la cosa non è proprio seria.
Un commento diceva: «Il velo e poi la pancia di fuori.. mah» e lei rispondeva: «Shaey · Creator - Se non sei mai stata nel MIO paese e non sai come ci si veste allora evita di rompere sotto i miei video <3»
Tra l'altro lei e alcune ragazze si tolgono il velo quando sono fuori da certe zone della città.
Insomma questa questione del velo non è come la raccontano i telegiornali.
É stato il mio primo viaggio fuori dall'Unione Europea, dieci anni fa. Da Teheran a Shiraz. Se è per questo ho visitato anche il Libano l'anno scorso, durante le ferie a Pasqua. L'argomento velo e soprattutto religione è indubbiamente molto complesso, dovremmo (ri)partire a esaminare gli eventi storici dalla rivoluzione khomeinista in avanti, molti dei quali si sono generati in seguito a interferenze e ingerenze appunto di potenze occidentali del secolo scorso, ma tutto troppo complesso da sintetizzare in pochi righe, off-topic e che probabilmente non verrebbe neanche compreso o accettato da tanti, visto che la conoscenza generale di questo paese per i più arriva soltanto da telegiornali o dalle notizie riportate dai media tradizionali.
Però una cosa si può fare tranquillamente, i social li utilizzano alla grande anche gli Iraniani, che non sono persone troppo diverse da noi e lo scrivo per conoscenza diretta, consiglio a tutti di approfondire senza pregiudizi. Svelo a tutti un segreto, si sono rotti anche loro alla grande dello status quo in cui vivono, quando saranno stanchi al punto giusto detronizzeranno probabilmente come in passato chi li opprime...chiudo qui, scritto anche troppo !
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".