ClickCease 윈도우 커널 결함을 적극적으로 악용하는 라자루스 해커 그룹

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

윈도우 커널 결함을 적극적으로 악용하는 라자루스 해커 그룹

와자핫 라자

2024년 3월 11일 TuxCare 전문가 팀

사이버 보안 세계는 다음과 같은 폭로로 떠들썩합니다. 라자루스 그룹의 악용 윈도우 커널의 치명적인 Windows 커널의 취약점. 이 윈도우 커널 결함은 공격자에게 커널 수준의 액세스 권한을 부여하고 보안 소프트웨어를 비활성화하여 시스템 무결성에 심각한 위협을 가할 수 있어 우려를 불러일으켰습니다.

 

Windows 보안 결함의 기원과 진화


이 취약점은 0x22A018 IOCTL 핸들러의 구현에서 비롯된 Windows 10 버전 1703(RS2/15063)으로 거슬러 올라갑니다. 이 취약점의 발견과 익스플로잇은 소프트웨어 개발자가 진화하는
사이버 보안 위협.

사이버 보안 공급업체인 Avast는 CVE-2024-21338에 대한 야생 관리자-커널 익스플로잇을 발견했으며, 이 익스플로잇의 원인은 라자루스 그룹. 이 그룹은 이 익스플로잇을 통해 커널 읽기/쓰기 프리미티브를 획득하여 커널 개체를 직접 조작하고 FudModule 루트킷을 배포할 수 있게 되었습니다.

그리고 라자루스 해커 는 CVE-2024-21338을 활용하여 Windows AppLocker와 관련된 중요한 드라이버인 appid.sys를 익스플로잇했습니다. 이 그룹은 보안 검사를 우회하여 임의의 코드를 실행함으로써 탐지 메커니즘을 효과적으로 회피하고 FudModule 루트킷을 무사히 실행합니다.

 

Windows 커널 결함 권한 에스컬레이션


정교한 사이버 작전으로 유명한 라자루스 그룹은 최근 패치된 윈도우 커널 내 권한 상승 결함을 발견하고
제로 데이 익스플로잇. 이 결함(CVE-2024-21338)의 CVSS 점수는 7.8로, 영향을 받는 시스템에 대한 심각성과 잠재적 영향을 나타냅니다.

이 취약점은 이제 사이버 보안 업계에서 악명 높은공격자는 Windows 커널의 취약점을 악용하여 시스템 권한을 획득할 수 있습니다. Microsoft는 이 취약점을 최근의 Windows 보안 업데이트를 통해 위험을 완화하기 위해 패치를 즉시 적용하는 것이 시급함을 강조했습니다.

CVE-2024-21338을 익스플로잇하려면 공격자는 먼저 표적이 되는 시스템에 액세스해야 합니다. 그런 다음 취약점을 악용하도록 설계된 특수 제작된 애플리케이션을 실행하여 손상된 시스템에 무단으로 액세스하고 제어할 수 있는 길을 열어줍니다.


커널 수준 액세스 및 강화된 위험 평가

 

익스플로잇되면 Windows 커널 결함 은 공격자에게 커널 수준의 액세스 권한을 부여하여 시스템 리소스를 조작하고 임의의 코드를 실행할 수 있는 탐낼 만한 권한을 부여합니다. 이렇게 높아진 액세스 권한은 보안 소프트웨어의 무력화를 용이하게 하여 영향을 받는 사용자의 위협 환경을 악화시킵니다.

처음에 적극적으로 악용되지 않는 것으로 분류되었던 CVE-2024-21338에 대한 평가를 다음과 같이 수정했습니다. "익스플로잇 탐지됨" 이는 위협 환경의 변화를 나타냅니다. 이러한 위험 평가의 강화는 사이버 보안 취약성 해결의 시급성을 강조합니다. 사이버 보안 취약점 잠재적인 공격을 선제적으로 대응해야 한다는 점을 강조합니다.


라자루스 그룹 공격, 회피 기법 및 표적 소프트웨어

 

퍼드모듈 루트킷은 시스템 로거를 비활성화하는 것 외에도 안랩 V3 엔드포인트 시큐리티, 크라우드스트라이크 팔콘, 히트맨프로, 마이크로소프트 디펜더 안티바이러스 등 특정 보안 소프트웨어를 우회하는 데 능숙합니다. 이러한 회피 전술은 멀웨어의 은밀성과 지속성을 향상시킵니다.

The 라자루스 APT 그룹의 익스플로잇은 북한 해킹 그룹의 기술적 정교함과 크로스 플랫폼에 대한 집중력을 잘 보여줍니다. 이 공격자들은 첨단 기술을 활용하여 탐지를 회피하고 글로벌 사이버 스파이 활동을 수행하면서 지속적으로 무기를 개선하고 있습니다.

최근 인텔리전스 권고에 따르면 라자루스 및 이와 유사한 지능형 지속 위협(APT) 공격자들의 지속적인 위협이 강조되고 있습니다. 국방 부문을 표적으로 삼는 것부터 사법 시스템에 침투하는 것까지 이들의 전술은 그들의 작전의 폭과 다양성을 강조합니다.


강화된 경계 및 완화 전략

 

이에 비추어 볼 때 사이버 보안 뉴스를 고려하여 조직과 개인은 경계를 늦추지 말고 강력한 완화 전략을 실행할 것을 촉구합니다. 적시에 적용 Windows 보안 패치, 선제적 위협 인텔리전스, 사용자 인식 교육은 포괄적인 사이버 보안 태세의 필수 요소입니다.


결론


라자루스 그룹이 CVE-2024-21338을 악용한 것은 사이버 위협의 진화하는 특성과 사전 예방적 보안 조치의 중요성을 강조합니다.
사전 예방적 사이버 보안 조치. 공격자들이 계속해서 혁신하고 적응함에 따라 다음과 같은 새로운 위협으로부터 보호하기 위해 이해 관계자들이 협력하고 인텔리전스를 공유하며 방어를 강화하는 것이 필수적입니다. 라자루스 그룹 사이버 공격. 공동의 노력과 흔들림 없는 경계를 통해서만 정교한 사이버 공격자들이 제기하는 위험을 완화할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스The Record.

요약
윈도우 커널 결함을 적극적으로 악용하는 라자루스 해커 그룹
기사 이름
윈도우 커널 결함을 적극적으로 악용하는 라자루스 해커 그룹
설명
라자루스 해커가 Windows 커널의 중요한 결함을 악용하는 최신 사이버 위협에 대해 알아보세요. 최신 정보를 받아 보안을 유지하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기