악명 높은 북한의 라자루스 해킹 그룹은 Windows AFD.sys 드라이버의 제로데이 결함을 악용해 권한을 상승시키고 대상 시스템에 FUDModule 루트킷을 설치했습니다.
Microsoft는 2024년 8월 패치 화요일에 CVE-2024-38193으로 추적된 결함과 다른 7개의 제로데이 취약점을 수정했습니다.
CVE-2024-38193은 Winsock 프로토콜을 위한 Windows 커널 진입점 역할을 하는 Windows Ancillary Function Driver for WinSock(AFD.sys)의 BYOVD(Bring Your Own Vulnerable Driver) 취약점입니다.
이 결함은 Gen Digital 연구원들에 의해 발견되었는데, Lazarus 해킹 그룹이 AFD.sys 결함을 제로데이로 악용해 FUDModule 루트킷을 설치하고 Windows 모니터링 기능을 꺼서 감지를 피했다고 합니다.
Gen Digital은 “6월 초, 루이지노 카마스트라와 밀라넥은 라자루스 그룹이 AFD.sys 드라이버라는 Windows의 중요한 부분에 숨겨진 보안 결함을 악용하고 있다는 사실을 발견했습니다.”라고 경고했습니다.
“이 결함으로 인해 그들은 민감한 시스템 영역에 무단으로 접근할 수 있었습니다. 또한 그들이 Fudmodule이라는 특수한 유형의 맬웨어를 사용하여 보안 소프트웨어로부터 활동을 숨겼다는 사실도 발견했습니다.”
Bring Your Own Vulnerable Driver 공격은 공격자가 대상 시스템에 알려진 취약점이 있는 드라이버를 설치한 다음 이를 악용하여 커널 수준 권한을 얻는 것입니다. 위협 행위자는 종종 커널과 상호 작용하기 위해 높은 권한이 필요한 바이러스 백신이나 하드웨어 드라이버와 같은 타사 드라이버를 남용합니다.
이 특정 취약성을 더욱 위험하게 만드는 것은 취약성이 모든 Windows 기기에 기본적으로 설치되는 드라이버인 AFD.sys에 있다는 것입니다. 이를 통해 위협 행위자는 Windows에서 차단되고 쉽게 감지될 수 있는 오래되고 취약한 드라이버를 설치하지 않고도 이러한 유형의 공격을 수행할 수 있었습니다.
Lazarus 그룹은 이전에 BYOVD 공격에서 Windows appid.sys와 Dell dbutil_2_3.sys 커널 드라이버를 악용하여 FUDModule을 설치했습니다.
라자루스 해킹 그룹
젠디지털은 공격 대상이 누구인지, 언제 공격이 발생했는지에 대한 자세한 내용을 공개하지 않았지만, 라자루스는 북한 정부의 무기와 사이버 프로그램에 자금을 지원하기 위해 수백만 달러 규모의 사이버 강도 사건에서 금융 회사와 암호화폐 회사를 표적으로 삼는 것으로 알려져 있습니다.
이 단체는 2014년 소니 픽처스 협박 해킹 사건과 2017년 전 세계 기업을 암호화한 WannaCry 랜섬웨어 글로벌 캠페인 이후 악명을 떨쳤습니다.
2022년 4월, 미국 정부는 라자루스 그룹을 Axie Infinity에 대한 사이버 공격과 연결해 위협 행위자들이 6억 1,700만 달러 상당의 암호화폐를 훔치는 데 도움을 주었다고 밝혔습니다.
미국 정부는 북한 해커의 악의적 활동에 대한 정보를 제공해 이를 식별하거나 찾아내는 데 도움을 주는 사람에게 최대 500만 달러의 보상금을 제공하겠다고 밝혔습니다.