FudModule Rootkit
Az Avast egy korábban ismeretlen nulladik napi sebezhetőséget fedezett fel az appid.sys AppLocker illesztőprogramban. Az Avast jelentésének köszönhetően a Microsoft a februári Patch Tuesday frissítésben javította a CVE-2024-21338 a sebezhetőséget. A kihasználási tevékenységet a hírhedt Lazarus Group szervezte, a végcél egy kernel írási/olvasási primitív létrehozása volt. Ez a primitív lehetővé tette a Lazarus számára, hogy közvetlen kernelobjektum-manipulációt hajtson végre a csak adatokra épülő FudModule rootkitjük frissített változatában, amelynek egy korábbi verzióját az ESET és az AhnLab elemezte.
Miután teljesen visszafejtette ezt a frissített rootkit-változatot, az Avast jelentős előrelépéseket azonosított mind a funkcionalitás, mind a lopakodás tekintetében, négy új – és három frissített – rootkit-technikával. Az egyik legfontosabb előrelépés, hogy a rootkit most egy új handle table bejegyzés manipulációs technikát alkalmaz, amellyel megpróbálja felfüggeszteni a PPL (Protected Process Light) védett folyamatokat, amelyek a Microsoft Defenderhez, a CrowdStrike Falconhoz és a HitmanPro-hoz kapcsolódnak.
Egy másik jelentős előrelépés a nulladik napi sebezhetőség kihasználása, ahol a Lazarus korábban sokkal zajosabb BYOVD (Bring Your Own Vulnerable Driver) technikákat használt az admin és a kernel közötti határvonal átlépéséhez.
Az Avast vizsgálata a rootkit telepítéséhez vezető fertőzési lánc nagy részét is elemezte, ami egy új, a Lazarusnak tulajdonított RAT (Remote Access Trojan) felfedezéséhez vezetett.