研究人员近期发现，Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序  appid.sys 中的零日漏洞 CVE-2024-21338，获得内核级访问权限并关闭安全工具，从而能够轻松绕过 BYOVD（自带漏洞驱动程序）技术。

Avast 网络安全分析师发现了这一网络攻击活动，随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过，微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。

Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元（ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞。此前，rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击）。

新版 FudModule 在隐蔽性和功能性方面有了显著增强，包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外，通过检索大部分攻击链，Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。Avast 承诺将在 4 月份的 BlackHat Asia 上分享有关该木马的更多细节。