Nowy cyberatak wymierzony w użytkowników Windows. Grupa Lazarus znów w natarciu
Cyberprzestępcy znani jako Grupa Lazarus wykorzystali lukę w systemie Windows, aby uzyskać dostęp do oprogramowania i wyłączyć narzędzia zabezpieczające. Aby chronić się przed atakiem, należy natychmiast zainstalować aktualizację, którą Microsoft udostępnił pod koniec lutego 2024 roku.
Grupa Lazarus ponownie w natarciu – Spis treści
Atak zero-day wymierzony w użytkowników Windows
Grupa Lazarus wykorzystała lukę w jądrze systemu Windows w ramach ataku typu zero-day, aby uzyskać dostęp do systemu i wyłączyć oprogramowanie zabezpieczające na zaatakowanych hostach.
Atak zero-day to rodzaj cyberataku, który wykorzystuje nieznane wcześniej luki w oprogramowaniu lub systemie operacyjnym. „Zero-day” oznacza, że twórcy oprogramowania nie mieli czasu (dzień zerowy) na opracowanie łatek lub aktualizacji, aby załatać wykrytą lukę przed jej wykorzystaniem przez przestępców. Hakerzy wykorzystują te błędy do infiltracji systemów, kradzieży danych, instalacji złośliwego oprogramowania lub innych szkodliwych działań, zanim producent oprogramowania zdąży zareagować i zabezpieczyć system.
Jeśli zastanawiacie się, co kryje się pod tajemniczym określeniem „Grupa Lazarus”, jest to grupa przestępcza, która ma powiązania z Koreą Północną. Znana jest z przeprowadzania szeroko zakrojonych operacji cybernetycznych, a jej działalność obejmuje szeroki zakres ataków, od phishingu i rozpowszechniania złośliwego oprogramowania po zaawansowane operacje cybernetyczne przeciwko rządom, instytucjom finansowym i przedsiębiorstwom na całym świecie. W październiku 2023 roku wspominaliśmy o ataku Grupy Lazarus z wykorzystaniem LinkedIn.
Avast na tropie nowego ataku
Problem ostatniego ataku wymierzonego w użytkowników Windows opisany został przez ekspertów z firmy Avast zajmującej się cyberbezpieczeństwem. Celem tego ataku była nieznana wcześniej luka w sterowniku AppLocker, kluczowym elemencie zabezpieczeń systemu Windows, który jest odpowiedzialny za kontrolę aplikacji. Szczegółowy opis można znaleźć na blogu Avast.
Z perspektywy atakującego przejście z poziomu administratora do jądra otwiera zupełnie nowy obszar możliwości. Dzięki dostępowi na poziomie jądra osoba atakująca może zakłócić działanie oprogramowania zabezpieczającego, ukryć wskaźniki infekcji (w tym pliki, aktywność sieciową, procesy itp.), wyłączyć telemetrię trybu jądra, wyłączyć środki ochronne i nie tylko.
Fragment opisu ataku zamieszczony na blogu Avast
Avast zauważa, że ta nowa taktyka exploitów oznacza znaczącą ewolucję możliwości dostępu do jądra oprogramowania, umożliwiając mu przeprowadzanie dyskretnych ataków i utrzymywanie się w zaatakowanych systemach przez dłuższy czas.
Luka została naprawiona przez Microsoft w ramach aktualizacji Patch Tuesday. Jedynym skutecznym środkiem bezpieczeństwa jest jak najszybsze zastosowanie update’u, ponieważ wykorzystanie przez Lazarus wbudowanego sterownika systemu Windows sprawia, że atak jest szczególnie trudny do wykrycia i zatrzymania. Wszystkie łatki bezpieczeństwa można przejrzeć i pobrać tutaj.
Źródło: oprac. własne. Zdjęcie otwierające: Gorodenkoff / Depositphotos
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.