微軟本月在發布的安全更新中修復多個高風險安全漏洞，其中部分漏洞已經遭到駭客利用，例如CVE-2024-38193 漏洞就已經被北韓駭客集團拉撒路(Lazarus) 利用發動攻擊。此漏洞屬於典型的釋放後使用(Use-after-Free) 類別，位於Windows 輔助功能驅動程式(AFD.sys) 的二進位檔案中，該檔案也是Winsock API 的核心存取點。

在成功開採並利用此漏洞後駭客可以獲得系統級操作權限，包括Windows 系統中最大的系統權限也就是SYSTEM 權限以及可以執行不受信任的程式碼。

安全研究人員稱發動攻擊的乃是拉撒路集團：

微軟在漏洞安全公告中確實提到該漏洞已經遭到積極利用，但並未透露利用該漏洞的駭客集團代號，不過最初發現該漏洞的安全研究人員稱發動攻擊的是拉撒路集團。

Gen (發現並向微軟報告漏洞的安全研究公司) 表示，該漏洞允許攻擊者繞過正常的安全限制並訪問大多數用戶和管理員都無法訪問的敏感系統區域，這種攻擊複雜而又狡猾，在黑市上可能價值數十萬美元。

通常情況下開採此類漏洞並發動攻擊的駭客都有強大的背景，並且也只對特定目標發動攻擊，例如從事加密貨幣工程(即開發加密貨幣系統的工程師們) 或航空領域工作的人。

研究人員透露自己的溯源和追蹤結果，拉撒路集團正在利用該漏洞安裝名為FudModule 的惡意軟體，該惡意軟體非常複雜，在2022 年時已經被AhnLab 和ESET 的研究人員發現。

拉撒路部署的屬於rookit 惡意軟體：

FudModule 是安全研究人員為這款惡意軟體取名字，其匯出表中有個檔案名稱為FudModule.dll，所以就拿這個名字對這個惡意軟體進行命名。

捷克安全公司Avast 則在今年稍早發現了FudModule 的變種版本，該變種可以繞過Windows 系統的關鍵防禦措施，例如繞過端點檢測和回應以及受保護的進程。

值得注意的是Aavst 也透露在該公司向微軟通報後，後者花了6 個月才完成漏洞的修復，這導致拉撒路集團的攻擊時間延長了半年。

這個變種版本也使用appid.sys 中的漏洞進行安裝，該驅動檔案是Windows AppLocker 服務的驅動程序，該服務也是被Windows 系統預先安裝的，因此駭客用來安裝變種版本會變得更輕鬆。