북한 해커 그룹 라자루스가 윈도우 AFD.sys 드라이버에서 발견된 제로데이 취약점을 악용해 권한을 상승시키고 FUDModule 루트킷을 설치한 것으로 드러났다. 이 취약점은 2024년 8월 마이크로소프트의 패치 화요일 업데이트에서 CVE-2024-38193으로 공개됐고, 이 업데이트에서 총 7개의 제로데이 취약점이 수정되었다.

CVE-2024-38193은 윈도우 Ancillary Function Driver for WinSock (AFD.sys)에 존재하는 취약점으로, 이 드라이버는 윈도우 커널과 Winsock 프로토콜 간의 진입 지점 역할을 한다. 이 취약점은 젠디지털 연구원들이 발견했으며, 라자루스 해킹 그룹이 이를 제로데이로 악용해 FUDModule 루트킷을 설치하고, 윈도우의 모니터링 기능을 비활성화해 탐지를 회피한 것으로 확인되었다.

젠디지털 연구원 루이지노 카마스트라와 밀라넥은 "2024년 6월 초, 라자루스 그룹이 윈도우의 중요한 부분인 AFD.sys 드라이버에서 숨겨진 보안 취약점을 악용하고 있다는 사실을 발견했다"며, "이 취약점을 통해 이들은 민감한 시스템 영역에 무단 접근할 수 있었고, FUDModule이라는 특수한 악성코드를 사용해 보안 소프트웨어로부터 자신들의 활동을 숨겼다"고 경고했다.

이 공격은 공격자가 취약점을 가진 드라이버를 설치해 커널 수준의 권한을 획득하는 'Bring Your Own Vulnerable Driver(BYOVD)' 기법의 대표적인 사례로, 특히 이번 취약점이 기본적으로 모든 윈도우 장치에 설치된 AFD.sys 드라이버에서 발견되었다는 점에서 더욱 위험하다. 이로 인해 공격자는 윈도우에 의해 차단되거나 쉽게 탐지될 수 있는 오래된 취약 드라이버를 설치하지 않고도 공격을 수행할 수 있었다.

라자루스 그룹은 이전에도 윈도우 appid.sys 및 Dell의 dbutil_2_3.sys 커널 드라이버를 악용해 FUDModule을 설치한 바 있다. 이 그룹은 주로 금융 및 암호화폐 기업을 목표로 하며, 수백만 달러 규모의 사이버 강탈을 통해 북한 정부의 무기 및 사이버 프로그램을 자금 조달해온 것으로 알려져 있다.

라자루스는 2014년 소니 픽처스 해킹 사건과 2017년 전 세계적으로 발생한 워너크라이 랜섬웨어 공격으로 악명을 떨쳤다. 또한 2022년 4월, 미국 정부는 라자루스 그룹이 Axie Infinity 사이버 공격과 연관되어 있으며, 이 공격을 통해 6억 1,700만 달러 이상의 암호화폐를 탈취했다고 발표했다.

미국 정부는 북한 해커의 악의적인 활동에 대한 정보를 제공해 이들의 식별이나 위치 파악에 도움을 줄 경우 최대 500만 달러의 보상을 제공하고 있다.