TCESB Зловреден софтуер
Свързан с Китай заплаха, известен със своите кибератаки в Азия, беше наблюдаван да използва уязвимост в софтуера за сигурност на ESET, за да достави недокументиран преди това злонамерен софтуер с кодово име TCESB. Този новооткрит злонамерен софтуер е предназначен да заобикаля мерките за сигурност и да изпълнява незабелязани полезни товари.
Съдържание
ToddyCat: Постоянна заплаха в Азия
ToddyCat, напреднала група за заплахи, е активна най-малко от декември 2020 г., насочена към множество субекти в Азия. Скорошни разследвания на техните дейности разкриха използването на различни инструменти за поддържане на постоянен достъп до компрометирани системи и събиране на огромни количества данни от организации в Азиатско-тихоокеанския регион.
Експлоатиране на недостатъка: Техниката за отвличане на DLL
Изследователи по сигурността, разследващи инциденти, свързани с ToddyCat в началото на 2024 г., откриха подозрителен DLL файл, „version.dll“, във временната директория на множество компрометирани устройства. Този файл, идентифициран като TCESB, е внедрен с помощта на DLL Search Order Hijacking, което позволява на атакуващите да контролират изпълнението на програмата чрез замяна на легитимни DLL файлове.
Атаката използва пропуск в скенера на командния ред на ESET, който несигурно зарежда файла „version.dll“. Вместо да зарежда легитимната версия от системни директории, той първо проверява текущата директория, като дава възможност на атакуващите да въведат свои собствени злонамерени DLL.
CVE-2024-11859: Използваната уязвимост
Тази уязвимост, проследена като CVE-2024-11859 (CVSS резултат: 6.8), позволи на нападателите с администраторски привилегии да изпълнят опасен код. Въпреки това, самият пропуск не предоставяше повишени привилегии - нападателите вече се нуждаеха от администраторски достъп, за да го експлоатират. ESET коригира уязвимостта през януари 2025 г., издавайки актуализации за своите потребителски, бизнес и сървърни продукти за сигурност в Windows.
Въоръжаване на EDRSandBlast: Как TCESB деактивира защитата на сигурността
TCESB е модифицирана версия на инструмента с отворен код EDRSandBlast. Той манипулира структурите на ядрото, за да деактивира механизми за сигурност, като рутинни уведомления (обратни извиквания), които са ключови функции, които предупреждават системните драйвери за критични събития като създаване на процес или промени в регистъра.
За да постигне това, TCESB използва добре познатата техника „Вземете свой собствен уязвим драйвер“ (BYOVD), като инсталира уязвим драйвер на Dell (DBUtilDrv2.sys) чрез интерфейса на диспечера на устройства. Този драйвер е засегнат от CVE-2021-36276, уязвимост при ескалиране на привилегии.
Драйвери на Dell: Повтаряща се слаба връзка
Това не е първият път, когато драйвери на Dell са били малтретирани при кибератаки. През 2022 г. свързаната със Северна Корея група Lazarus използва друга уязвимост на драйвера на Dell (CVE-2021-21551), за да деактивира механизмите за сигурност. Нападателите продължават да използват остарели или уязвими драйвери, за да заобиколят мерките за сигурност.
Стратегия за изпълнение на TCESB
След като уязвимият драйвер бъде инсталиран, TCESB непрекъснато проверява на всеки две секунди за полезен файл с конкретно име в текущата директория. Ако полезният товар не е наличен първоначално, TCESB изчаква, докато се появи. Полезният товар, криптиран с помощта на AES-128, след това се декодира и изпълнява.
Мерки за откриване и превенция
- За да се противопоставят на подобни заплахи, екипите по сигурността трябва:
- Следете за събития при инсталиране на драйвери, особено тези, включващи уязвими драйвери.
- Следете за подозрителна дейност по отстраняване на грешки в ядрото, особено на системи, където не се очаква отстраняване на грешки в ядрото.
- Уверете се, че целият софтуер за сигурност е актуализиран, включително корекции за известни уязвимости.
- Ограничете администраторските привилегии, за да попречите на нападателите да се възползват от такива уязвимости.
Тъй като участниците в кибернетичните заплахи продължават да се развиват, оставането на бдителност и прилагането на проактивни мерки за сигурност е от решаващо значение за защита срещу сложни атаки като тези, извършвани от ToddyCat.
