Page Accueil Forums Analyses sécurité Le groupe cybercriminel Lazarus. Evolution du groupe APT Lazarus

#44216
Nicolas Coolman
Maître des clés

Evolution du groupe APT Lazarus

En mars 2024, le groupe APT Lazarus actualise son rootkit FudModule afin d’intégrer la faille AppLocker. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité résidents. Connue sous la référence CVE-2024-21338, cette faille de sécurité a été récemment corrigée par Microsoft dans son Patch Tusday de février 2024. Un défaut dans la fonction appid.sys de Windows permet à un attaquant authentifié, en exécutant une application spécifiquement forgée, d’obtenir les privilèges SYSTEM. Une preuve de concept est disponible en sources ouvertes sur le site de Microsoft.

Selon les expert sécurité de la solution Avast, il « utilise désormais une technique de manipulation des entrées de la table de gestion pour tenter de suspendre les processus protégés PPL (Protected Process Light) associés à Microsoft Defender, CrowdStrike Falcon et HitmanPro, ce qui représente une avancée majeure dans leur technique d’attaque ».

Retour en haut