هکرهای گروه لازاروس از آسیب‌پذیری ویندوز برای حملات روت‌کیت استفاده کردند

گروه لازاروس وابسته به دولت کره شمالی، از آسیب پذیری روز صفر در ویندوز AppLocker به همراه یک روت‌کیت جدید و بهبود یافته در حملات سایبری اخیر استفاده کرده‌اند.

مایکروسافت اخیراً اعلام کرد که یک اکسپلویت را در نرم افزار AppLocker برطرف کرده است، اما این اتفاق پس از آن می‌افتد که گروه لازاروس توانست از این نقص برای انجام یک حمله سایبری روت کیت استفاده کند.

گروه هکری لازاروس چه کسانی هستند؟

لازاروس، یک گروه هکری مرموز است که شواهدی بر ارتباط آن‌ها با دولت کره شمالی وجود دارد. از سال ۲۰۰۹، آن‌ها به حملات سایبری متعددی از جمله هک سونی پیکچرز در سال ۲۰۱۴ و حمله باج‌افزار WannaCry در سال ۲۰۱۷ مرتبط بوده‌اند. انگیزه‌های آن‌ها از سرقت اطلاعات حساس و مختل کردن عملیات تا کسب درآمد برای کره شمالی متغیر است. با وجود ناشناس بودن، محققان این فعالیت‌ها را به دلیل تکنیک‌ها و اهداف منحصربه‌فردشان به گروه لازاروس نسبت می‌دهند. فعالیت‌های مداوم این گروه، تهدیدی جدی برای امنیت سایبری در سراسر جهان به شمار می‌رود.

روت کیت به چه معناست؟

روت کیت یک برنامه نرم‌افزاری مخرب است که دسترسی غیرمجاز به یک سیستم کامپیوتری را می‌دهد و معمولاً برای پنهان کردن حضور و فعالیت خود از کاربر و نرم افزار امنیتی طراحی شده است. اصطلاح “rootkit” از کلمه “root” گرفته شده است که نام بالاترین امتیاز کاربری در سیستم‌های مبتنی بر یونیکس است. این حساب دسترسی نامحدود به تمام فایل‌ها و فرآیندهای سیستم دارد. روت‌کیت‌ها می توانند برای اهداف مختلفی استفاده شوند، از جمله:

• سرقت اطلاعات حساس مانند رمز عبور، شماره کارت اعتباری و اطلاعات شخصی
• نصب بدافزار اضافی
• راه اندازی حملات انکار سرویس
• جاسوسی از فعالیت کاربر

شناسایی روت‌کیت‌ها دشوار است، زیرا به گونه‌ای طراحی شده‌اند که مخفیانه باشند.

آسیب‌پذیری ویندوز اجازه دسترسی به کرنل را می‌دهد

محققان آواست آسیب‌پذیری روز صفر مایکروسافت را کشف کردند و توضیح دادند که این نقص به لازاروس اجازه می‌دهد تا از نسخه به روز شده بدافزار روت‌کیت اختصاصی خود به نام “FudModule” برای عبور از مرز ادمین به کرنل سیستم عامل استفاده کند.