FudModule: Ein ausgeklügeltes Rootkit dringt in Windows ein

Ein gefährliches Alarmzeichen


Ein hoch entwickeltes Rootkit namens FudModule hat eine gravierende Sicherheitslücke in Windows ausgenutzt. Diese Sicherheitslücke war lange ungepatcht. Die Angriffe der nordkoreanischen Hackergruppe Lazarus werfen ein grelles Licht auf die Verwundbarkeit moderner Betriebssysteme.



Die Entdeckung der Schwachstelle


Die Schwachstelle CVE-2024-38193 war in der Datei AFD.sys verborgen. Dieser Ancillary Function Driver ist für die Winsock-API in Windows zuständig. FudModule öffnete die Türen zu Systemprivilegien. Damit erlangte das Rootkit die höchsten Berechtigungen im Betriebssystem. Es konnte nicht autorisierten Code ausführen und auf kritische Systembereiche zugreifen. Diese Bereiche sind üblicherweise durch die Windows-Sicherheitsmechanismen geschützt.



Hinter den Angriffe: Lazarus


Die Hackergruppe Lazarus gilt als verlängerter Arm der nordkoreanischen Regierung. Sie ist bekannt für ausgeklügelte Cyberangriffe. Auch in diesem Fall nutzte Lazarus die Sicherheitslücke um FudModule einzuschleusen. Dies berichtet ars Technica in einem aktuellen Artikel.



FudModule: Ein Wolf im Schafspelz


FudModule stellt keine gewöhnliche Malware dar. Es handelt sich um ein hoch entwickeltes Rootkit. Dieses Rootkit verankert sich tief im System und umgeht gängige Sicherheitsmaßnahmen. AhnLab und ESET entdeckten FudModule erstmals im Jahr 2022. Seitdem hat sich die Bedrohung alarmierend entwickelt.



Techniken zum Eindringen


Die besondere Fähigkeit von FudModule liegt in der Nutzung eines anfälligen Treibers im Windows-Kernel. Diese als „bring your own vulnerable driver“ bekannte Technik verwendet legitime freilich angreifbare Treiber. Durch diese Methode dringt FudModule tief in das System ein.



Alarmierende Entdeckungen und langsame Reaktionen


Anfang 2024 machte Avast eine beunruhigende Entdeckung. Eine neue Variante von FudModule konnte zentrale Windows-Sicherheitsfunktionen umgehen. Dazu gehören Endpoint Detection and Response und ebenfalls Protected Process Light. Diese Schutzmaßnahmen sollen schädliche Aktivitäten erkennen und blockieren.



Trotz der frühen Meldung durch Avast benötigte Microsoft sechs Monate für einen Patch. Diese Verzögerung bot Lazarus reichlich Zeit – die Schwachstelle auszunutzen. Folglich installierten sie FudModule auf zahlreichen Systemen.



Betroffene Branchen


Die FudModule-Angriffe richteten sich hauptsächlich gegen Unternehmen der Kryptowährungsentwicklung und der Luft- und Raumfahrt. Diese Branchen sind für Hacker besonders attraktiv. Sie bieten Zugang zu wertvollen Daten und Vermögenswerten.



Insgesamt zeigt der Vorfall erneut, ebenso wie wichtig Sicherheitsupdates sind. Cyberkriminelle werden weiterhin nach Schwachstellen suchen um ihre Angriffe zu verstärken.






Kommentare


Anzeige