Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Programari maliciós TCESB

Programari maliciós TCESB

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:
Català

S'ha observat que un actor d'amenaces afiliat a la Xina conegut pels seus ciberatacs a tot Àsia explota una vulnerabilitat del programari de seguretat ESET per oferir un programari maliciós prèviament indocumentat, amb el nom en clau TCESB. Aquest programari maliciós recentment descobert està dissenyat per evitar les mesures de seguretat i executar càrregues útils sense detectar-les.

ToddyCat: una amenaça persistent a Àsia

ToddyCat, un grup d'amenaces avançades, ha estat actiu almenys des de desembre de 2020, dirigint-se a diverses entitats a Àsia. Investigacions recents sobre les seves activitats van revelar el seu ús de diverses eines per mantenir l'accés persistent a sistemes compromesos i recopilar grans quantitats de dades d'organitzacions de la regió Àsia-Pacífic.

Explotant el defecte: la tècnica de segrest de DLL

Els investigadors de seguretat que investigaven incidents relacionats amb ToddyCat a principis del 2024 van descobrir un fitxer DLL sospitós, "version.dll", al directori temporal de diversos dispositius compromesos. Aquest fitxer, identificat com a TCESB, es va desplegar mitjançant el segrest d'ordres de cerca de DLL, que permet als atacants controlar l'execució del programa substituint fitxers DLL legítims.

L'atac aprofita una fallada a l'escàner de línia d'ordres d'ESET, que carrega de manera insegura el fitxer "version.dll". En lloc de carregar la versió legítima dels directoris del sistema, primer comprova el directori actual, donant als atacants l'oportunitat d'introduir la seva pròpia DLL maliciosa.

CVE-2024-11859: La vulnerabilitat explotada

Aquesta vulnerabilitat registrada com a CVE-2024-11859 (puntuació CVSS: 6,8), va permetre als atacants amb privilegis d'administrador executar codi no segur. Tanmateix, el defecte en si no va atorgar privilegis elevats: els atacants ja necessitaven accés d'administrador per explotar-lo. ESET va arreglar la vulnerabilitat el gener de 2025 i va emetre actualitzacions per als seus productes de seguretat per a consumidors, empreses i servidors a Windows.

Armament d’EDRSandBlast: com TCESB desactiva les proteccions de seguretat

TCESB és una versió modificada de l'eina de codi obert EDRSandBlast. Manipula les estructures del nucli per desactivar mecanismes de seguretat com ara les rutines de notificació (devolucions de trucada), que són funcions clau que alerten els controladors del sistema sobre esdeveniments crítics com la creació de processos o els canvis del registre.

Per aconseguir-ho, TCESB utilitza una tècnica coneguda Bring Your Own Vulnerable Driver (BYOVD), instal·lant un controlador Dell vulnerable (DBUtilDrv2.sys) a través de la interfície del Gestor de dispositius. Aquest controlador està afectat per CVE-2021-36276, una vulnerabilitat d'escalada de privilegis.

Drivers Dell: un enllaç feble recurrent

Aquesta no és la primera vegada que els conductors de Dell pateixen maltractaments en ciberatacs. El 2022, el grup Lazarus vinculat a Corea del Nord va explotar una altra vulnerabilitat del controlador Dell (CVE-2021-21551) per desactivar els mecanismes de seguretat. Els atacants continuen aprofitant conductors obsolets o vulnerables per evitar les mesures de seguretat.

Estratègia d’execució del TCESB

Un cop instal·lat el controlador vulnerable, TCESB comprova contínuament cada dos segons si hi ha un fitxer de càrrega útil amb un nom específic al directori actual. Si la càrrega útil no està present inicialment, TCSB espera fins que aparegui. La càrrega útil, xifrada amb AES-128, es descodifica i s'executa.

Mesures de detecció i prevenció

  • Per contrarestar aquestes amenaces, els equips de seguretat haurien de:
  • Superviseu els esdeveniments d'instal·lació de controladors, especialment els que involucren controladors vulnerables.
  • Vigileu l'activitat sospitosa de depuració del nucli, especialment en sistemes on no s'espera la depuració del nucli.
  • Assegureu-vos que tot el programari de seguretat estigui actualitzat, inclosos els pedaços per a vulnerabilitats conegudes.
  • Restringeix els privilegis d'administrador per evitar que els atacants explotin aquestes vulnerabilitats.

A mesura que els actors de les amenaces cibernètiques continuen evolucionant, mantenir-se vigilant i implementar mesures de seguretat proactives és crucial per defensar-se d'atacs sofisticats com els realitzats per ToddyCat.

Tendència

Estafa de correu electrònic d'Airdrop de VoxFlowG USDT

Phishing, Correu brossa
Amb l'augment de la criptomoneda, els estafadors han desenvolupat tàctiques cada cop més enganyoses per enganyar els usuaris perquè regalin els seus actius digitals. Un d'aquests esquemes fraudulents és l'estafa de correu electrònic VoxFlowG USDT Airdrop, que s'aprofita d'individus desprevinguts prometent Tether gratuït (USDT). Aquesta tàctica està dissenyada per recollir fons de les carteres...

Més vist

Carregant...