按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

北韓Lazarus利用Microsoft zero-day漏洞發動攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-03-15
  • 點閱次數:8413
messageImage_1710485868805

資安廠商Avast近日發表技術報告指出,北韓所屬駭客Lazarus利用Windows作業系統內AppLocker相關驅動程式(appid.sys)zeroday漏洞,取得系統核心(kernel)權限,用以關閉系統內安全防護機制,藉以規避異常BYOVD(Bring Your Own Vulnerable Driver)告警,降低異常行為遭察覺的可能性。

另外,在調查過程當中亦發現關聯至Lazarus族群之惡意程式樣本,包含經過升級版本的FudModule rootkit、新型態的後門等,可躲避Microsoft Defender與CrowdStrike Falcon等偵測防護機制;另提供FudModule相關yara規則可供自我檢測確認自身是否有所影響。

該弱點對應編號為CVE-2024-21338,微軟已納入排程(February Patch)並於近日完成修補,建議企業組織能即時完成作業系統更新,提高資安防護能力,減少遭利用攻擊並造成損失之風險。

回頁首