lazarus-fudmodule-rootkit-campaign-2024

# Lazarus Group — Campanha FudModule Rootkit 2024 > [!danger] Rootkit BYOVD — CVE-2024-21338 Windows Kernel > O **Lazarus Group** explorou o CVE-2024-21338 (zero-day no driver appid.sys do Windows) para implantar o rootkit **FudModule** via técnica BYOVD (Bring Your Own Vulnerable Driver), desabilitando soluções EDR e alcançando persistência em nível de kernel. ## Visão Geral Em fevereiro de 2024, a Avast identificou uma campanha do Lazarus Group explorando o CVE-2024-21338, uma vulnerabilidade zero-day no driver appid.sys do Windows (componente do AppLocker). A exploração permitia ao grupo obter handle privilegiado para manipulação direta de estruturas do kernel — um nível de acesso raramente visto em malware moderno. A técnica central da campanha é conhecida como **BYOVD** (Bring Your Own Vulnerable Driver): o atacante carrega um driver legítimo mas vulnerável para obter execução no kernel e posteriormente desabilitar mecanismos de segurança. No caso do CVE-2024-21338, o Lazarus utilizou o próprio driver do Windows (appid.sys) — eliminando a necessidade de carregar um driver externo e tornando a detecção ainda mais difícil. O rootkit FudModule v2 (aprimoramento da versão identificada em 2022 que usava o Dell DBUTIL driver) é capaz de desabilitar callbacks de processo do kernel, removendo efetivamente a visibilidade de ferramentas EDR como Windows Defender, CrowdStrike, AhnLab e outros. A Microsoft corrigiu o CVE-2024-21338 no Patch Tuesday de fevereiro de 2024, mas a janela de exploração zero-day foi utilizada pelo grupo em campanhas direcionadas. ## Attack Flow ```mermaid flowchart LR A[Acesso Inicial\nDropper via npm malicioso\nSpear Phishing] --> B[Execução\nLoader customizado\nEscala de privilégio] B --> C[BYOVD\nCVE-2024-21338\nappid.sys driver exploit] C --> D[Rootkit Kernel\nFudModule v2\nDesativa EDR callbacks] D --> E[Persistência Furtiva\nKernel-level\nInvisível a AV/EDR] E --> F[Missão\nEspionagem / Roubo cripto\nPersistência de longo prazo] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Escalação Kernel | [[t1068-exploitation-for-privilege-escalation\|T1068]] | CVE-2024-21338 appid.sys BYOVD | | Rootkit de Kernel | [[t1014-rootkit\|T1014]] | FudModule v2 — desabilita EDR callbacks | | Injeção de Processo | [[t1055-process-injection\|T1055]] | Injeção em processo Windows legítimo | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Dropper e loader inicial | ## Detecção e Defesa - Aplicar o Patch Tuesday de fevereiro 2024 — CVE-2024-21338 foi corrigido pela Microsoft - Habilitar Windows Defender Credential Guard e Virtualization Based Security (VBS) - Monitorar carregamento de drivers não assinados ou com assinaturas antigas - Implementar Kernel DMA Protection e HVCI (Hypervisor-Protected Code Integrity) - Consultar IOCs da Avast e relatório específico sobre FudModule v2 ## Referências - Avast: FudModule Rootkit v2 — CVE-2024-21338 analysis (2024) - Microsoft: CVE-2024-21338 — Windows Kernel Elevation of Privilege (2024) - ESET: Lazarus Group FudModule BYOVD (2022) — versão anterior - CrowdStrike: Diamond Sleet — Lazarus rootkit campaigns (2024) - Perfil do grupo: [[lazarus-group|Lazarus Group]]