விண்டோஸ் பயனர்கள் மீது ஸிரோ-டே தாக்குதலை நடத்தும் வட கொரிய ஹேக்கர்கள்
செய்தி முன்னோட்டம்
விண்டோஸில் ஒரு ஸிரோ-டே பாதிப்பு, சமீபத்தில் மைக்ரோசாப்ட் மூலம் சரி செய்யப்பட்டது. இது, வட கொரிய அரசாங்கத்தின் துணையோடு செயல்படுவதாக நம்பப்படும் ஹேக்கர்களால் பயன்படுத்தப்பட்டது என கண்டறியப்பட்டுள்ளது.
CVE-2024-38193 என அடையாளம் காணப்பட்ட பாதுகாப்பு குறைபாடு, மைக்ரோசாப்டின் சமீபத்திய மாதாந்திர புதுப்பிப்பில் குறிப்பிடப்பட்ட ஆறு ஸிரோ- டேகளில் ஒன்றாகும்.
இந்த குறிப்பிட்ட பாதிப்பு "use after free" வகையாக வகைப்படுத்தப்பட்டுள்ளது மற்றும் இது AFD.sys இல் அமைந்துள்ளது - இது Winsock APIக்கான துணை செயல்பாட்டு இயக்கி மற்றும் கர்னல் நுழைவு புள்ளியுடன் தொடர்புடைய பைனரி கோப்பு ஆகும்.
ஆபத்து
பாதுகாப்பு குறைபாடு ஹேக்கர்களுக்கு சிஸ்டம் சலுகைகளை வழங்கலாம்
ஸிரோ டே பாதிப்பை ஹேக்கர்கள் பயன்படுத்தி கணினி சலுகைகளைப் பெறலாம் என மைக்ரோசாப்ட் எச்சரித்துள்ளது.
கணினி சலுகைகள் விண்டோஸில் கிடைக்கும் மிக உயர்ந்த அளவிலான உரிமைகள் மற்றும் நம்பத்தகாத குறியீட்டை இயக்குவதற்கு அவசியமானவை.
விண்டோஸ் நிறுவனம் இந்த பாதிப்பு செயலில் இருப்பதை ஒப்புக்கொண்டது.
எனினும், இதற்கு யார் பொறுப்பு அல்லது அவர்களின் இறுதி இலக்கு பற்றிய விவரங்களை வழங்கவில்லை.
ஸிரோ டே தாக்குதல்கள் குறிப்பாக ஆபத்தானவை, ஏனெனில் அவை பெரும்பாலும் அதிக இலக்கு கொண்டவை மற்றும் அவற்றைக் கண்டறிந்து தற்காத்துக் கொள்வது கடினம்.
அடையாளம்
லாசரஸ் குழுவிற்கு விண்டோஸ் பாதிப்புகளுடன் தொடர்பு இருப்பதாக கூறப்பட்டுள்ளது
இந்த தாக்குதல்களை மைக்ரோசாப்ட் நிறுவனத்திற்கு முதலில் கண்டறிந்து தனிப்பட்ட முறையில் தெரிவித்த பாதுகாப்பு நிறுவனமான ஜெனரல், அச்சுறுத்தல் நபர்கள் வட கொரிய அரசாங்கத்தால் ஆதரிக்கப்படும் 'லாசரஸ்' ஹேக்கிங் குழுவின் ஒரு பகுதி என்பதை இப்போது வெளிப்படுத்தியுள்ளது.
"இந்த ஹாக்கர்களால் சாதாரண பாதுகாப்பு கட்டுப்பாடுகளைத் தவிர்த்து, பெரும்பாலான பயனர்கள் மற்றும் நிர்வாகிகளால் அடைய முடியாத உணர்திறன் அமைப்பு பகுதிகளை அணுக முடியும்" என்று ஜெனரல் ஆராய்ச்சியாளர்கள் தெரிவித்தனர்.
பிளாக் மார்க்கெட்டில் அதன் சாத்தியமான அதிக விலையைக் குறிப்பிட்டு, இந்த வகையான தாக்குதலின் நுட்பமான தன்மையை அவர்கள் எடுத்துரைத்தனர்.
மால்வேர் நிறுவல்
FudModule மால்வேரை நிறுவ Lazarus குழு ஹாக்கிங்கை பயன்படுத்தியது
2022 ஆம் ஆண்டில் முதன்முதலில் கண்டறியப்பட்டு பகுப்பாய்வு செய்யப்பட்ட அதிநவீன மால்வேரான FudModule ஐ நிறுவ லாசரஸ் குழு ஹாக்கிங்கை பயன்படுத்தியதாக Gen இன் ஆராய்ச்சியாளர்கள் வெளிப்படுத்தியுள்ளனர்.
ரூட்கிட் என அறியப்படும் இந்த மால்வேர், அதன் ஏற்றுமதி அட்டவணையில் இருக்கும் FudModule.dll கோப்பின் பெயரிடப்பட்டது.
ரூட்கிட்கள் அவற்றின் செயல்முறைகளை மறைத்து, ஆப்பரேட்டிங் சிஸ்டத்தின் ஆழமான நிலைகளைக் கட்டுப்படுத்தும் திறனில் தனித்துவமானது.
பாதுகாப்பு பைபாஸ்
FudModule வகைகள் முக்கிய விண்டோஸ் பாதுகாப்புகளைத் தவிர்த்துவிட்டன
இந்த ஆண்டின் தொடக்கத்தில், FudModule இன் புதிய மாறுபாடு பாதுகாப்பு நிறுவனமான Avast ஆல் கண்டுபிடிக்கப்பட்டது.
இந்த பதிப்பானது எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில், மற்றும் பாதுகாக்கப்பட்ட செயல்முறை ஒளி போன்ற முக்கிய விண்டோஸ் பாதுகாப்புகளைத் தவிர்க்க முடிந்தது.
FudModule இன் முந்தைய பதிப்புகளை நிறுவ, Lazarus குழு முன்பு "bring your own vulnerable driver" என்ற நுட்பத்தைப் பயன்படுத்தியது.
இருப்பினும், Avast ஆல் அடையாளம் காணப்பட்ட மாறுபாடு, appid.sys இல் உள்ள பிழையைப் பயன்படுத்தி நிறுவப்பட்டது - இது Windows AppLocker சேவையுடன் தொடர்புடைய டிரைவர்.