Страх и ненависть: APT-группировка Lazarus

🤖 В новом выпуске Breaking Malware Алексей Вишняков разложил по полочкам технику взлома северокорейской APT-группировки Lazarus. Эта хакерская группировка известна своими атаками на блокчейн-проекты и криптобиржи. С ней связывают печально известный сетевой червь-шифровальщик WannaCry. Именно Lazarus задали тренд атаки на специалистов по ИБ. 🔎 Исследователи вредоносного ПО компании Avast опубликовали 28 февраля разбор руткита FudModule под Windows, которым пользовались Lazarus: Началом вредоносных манипуляций была эксплуатация уязвимости нулевого дня в AppLocker-драйвере , которой был присвоен идентификатор CVE-2024-21338. Уязвимость была найдена во встроенном компоненте Windows. Это не тот случай, когда вредоносная программа приносит уязвимый драйвер с собой. Один из методов защиты от таких атак — контроль появления уже известных уязвимых драйверов и блокировка их установки. 🧐 Какова суть этой уязвимости, а также какими правами нужно обладать и какие техники применять, чтобы ей воспользоваться, Алексей рассказал в новом выпуске. И не только это. Таймкоды: 0:00 Начало 0:05 Вводная 1:53 CVE-2024-21338 4:48 Отключение драйвер-минифильтров 5:55 Отключение системных трассировщиков ETW 6:35 Остановка процессов через таблицу описателей 8:27 Детекты 9:59 Финал 10:14 Бэкстейдж