برامج TCESB الخبيثة

لوحظت جهة تهديد تابعة للصين، معروفة بهجماتها الإلكترونية في جميع أنحاء آسيا، وهي تستغل ثغرة أمنية في برنامج ESET الأمني لإطلاق برمجية خبيثة لم تُوثّق سابقًا، تحمل الاسم الرمزي TCESB. صُممت هذه البرمجية الخبيثة المُكتشفة حديثًا لتجاوز إجراءات الأمان وتنفيذ هجمات دون أن يتم اكتشافها.

تودي كات: تهديد مستمر في آسيا

تنشط مجموعة ToddyCat، وهي مجموعة تهديدات متقدمة، منذ ديسمبر 2020 على الأقل، مستهدفةً جهات متعددة في آسيا. وكشفت التحقيقات الأخيرة في أنشطتها عن استخدامها أدوات متنوعة للحفاظ على وصول دائم إلى الأنظمة المخترقة وجمع كميات هائلة من البيانات من مؤسسات في منطقة آسيا والمحيط الهادئ.

استغلال الخلل: تقنية اختطاف DLL

اكتشف باحثون أمنيون، أثناء تحقيقهم في حوادث متعلقة بـ ToddyCat في أوائل عام 2024، ملف DLL مشبوهًا، "version.dll"، في الدليل المؤقت لعدة أجهزة مخترقة. تم نشر هذا الملف، المعروف باسم TCESB، باستخدام استغلال أمر بحث DLL، والذي يسمح للمهاجمين بالتحكم في تنفيذ البرامج عن طريق استبدال ملفات DLL الأصلية.

استغل الهجوم ثغرة في أداة فحص سطر الأوامر من ESET، والتي تُحمّل ملف 'version.dll' بشكل غير آمن. فبدلاً من تحميل الإصدار الصحيح من مجلدات النظام، يتحقق البرنامج أولاً من المجلد الحالي، مما يتيح للمهاجمين فرصة إدخال ملفات DLL ضارة خاصة بهم.

CVE-2024-11859: الثغرة المُستغلة

هذه الثغرة، المُعرَّفة برقم CVE-2024-11859 (درجة CVSS: 6.8)، تُمكِّن المهاجمين ذوي صلاحيات المسؤول من تنفيذ تعليمات برمجية غير آمنة. مع ذلك، لم تمنح الثغرة نفسها صلاحيات مُرتفعة، إذ كان المهاجمون بحاجة بالفعل إلى صلاحيات المسؤول لاستغلالها. قامت شركة ESET بإصلاح الثغرة في يناير 2025، وأصدرت تحديثات لمنتجاتها الأمنية للمستهلكين والشركات والخوادم على نظام ويندوز.

تسليح EDRSandBlast: كيف يُعطّل TCESB الحماية الأمنية

TCESB هو نسخة معدلة من أداة EDRSandBlast مفتوحة المصدر. يتلاعب هذا البرنامج بهياكل النواة لتعطيل آليات الأمان، مثل إجراءات الإشعارات (الاستدعاءات العكسية)، وهي وظائف رئيسية تُنبه برامج تشغيل النظام بشأن الأحداث الحرجة، مثل إنشاء العمليات أو تغييرات السجل.

لتحقيق ذلك، يستخدم TCESB تقنية "إحضار برنامج التشغيل المُعرَّض للثغرات" (BYOVD) المعروفة، وذلك بتثبيت برنامج تشغيل Dell مُعرَّض للثغرات (DBUtilDrv2.sys) عبر واجهة إدارة الأجهزة. هذا البرنامج مُعرَّض للثغرة الأمنية CVE-2021-36276، وهي ثغرة أمنية تُصعِّد صلاحيات الوصول.

برامج تشغيل Dell: رابط ضعيف متكرر

هذه ليست المرة الأولى التي تُساء فيها استخدام برامج تشغيل أجهزة Dell في هجمات إلكترونية. ففي عام ٢٠٢٢، استغلت مجموعة Lazarus المرتبطة بكوريا الشمالية ثغرة أخرى في برامج تشغيل أجهزة Dell (CVE-2021-21551) لتعطيل آليات الأمان. ويواصل المهاجمون استغلال برامج التشغيل القديمة أو الضعيفة لتجاوز إجراءات الأمان.

استراتيجية تنفيذ TCESB

بمجرد تثبيت برنامج التشغيل المُعرَّض للخطر، يتحقق TCESB باستمرار كل ثانيتين من وجود ملف حمولة باسم مُحدَّد في الدليل الحالي. إذا لم تكن الحمولة موجودة في البداية، ينتظر TCESB ظهورها. بعد ذلك، يتم فك تشفير الحمولة، المُشفَّرة باستخدام AES-128، وتنفيذها.

إجراءات الكشف والوقاية

• ولمواجهة مثل هذه التهديدات، ينبغي على فرق الأمن القيام بما يلي:
• راقب أحداث تثبيت برامج التشغيل، وخاصة تلك التي تتضمن برامج تشغيل معرضة للخطر.
• راقب نشاط تصحيح أخطاء النواة المشبوه، وخاصةً على الأنظمة التي لا يُتوقع فيها تصحيح أخطاء النواة.
• تأكد من تحديث كافة برامج الأمان، بما في ذلك التصحيحات الخاصة بالثغرات الأمنية المعروفة.
• قم بتقييد امتيازات المسؤول لمنع المهاجمين من استغلال مثل هذه الثغرات الأمنية.

مع استمرار تطور الجهات الفاعلة في مجال التهديدات السيبرانية، فإن البقاء يقظًا وتنفيذ تدابير أمنية استباقية أمر بالغ الأهمية للدفاع ضد الهجمات المتطورة مثل تلك التي يشنها ToddyCat.