Malware TCESB
Hrozba spřízněná s Čínou, známá svými kybernetickými útoky po celé Asii, byla pozorována, jak zneužívá zranitelnost v bezpečnostním softwaru ESET k šíření dříve nezdokumentovaného malwaru s kódovým označením TCESB. Tento nově objevený malware je navržen tak, aby obcházel bezpečnostní opatření a spouštěl nedetekované užitečné zatížení.
Obsah
ToddyCat: Trvalá hrozba v Asii
ToddyCat, skupina pro pokročilé hrozby, je aktivní minimálně od prosince 2020 a zaměřuje se na několik subjektů v Asii. Nedávné vyšetřování jejich aktivit odhalilo, že používají různé nástroje k udržení trvalého přístupu k ohroženým systémům a ke shromažďování obrovského množství dat od organizací v asijsko-pacifickém regionu.
Využití chyby: Technika únosu DLL
Bezpečnostní výzkumníci, kteří vyšetřovali incidenty související s ToddyCat na začátku roku 2024, objevili podezřelý soubor DLL „version.dll“ v adresáři temp několika kompromitovaných zařízení. Tento soubor, označený jako TCESB, byl nasazen pomocí nástroje DLL Search Order Hijacking, který útočníkům umožňuje řídit provádění programu nahrazením legitimních souborů DLL.
Útok využívá chybu v nástroji ESET Command Line Scanner, který nezabezpečeně načítá soubor 'version.dll'. Namísto načítání legitimní verze ze systémových adresářů nejprve zkontroluje aktuální adresář, čímž útočníkům poskytne příležitost zavést vlastní zákeřnou knihovnu DLL.
CVE-2024-11859: The Exploited Vulnerability
Tato chyba zabezpečení sledovaná jako CVE-2024-11859 (CVSS skóre: 6,8) umožnila útočníkům s oprávněními správce spouštět nebezpečný kód. Samotná chyba však neudělovala zvýšená oprávnění – útočníci již potřebovali administrátorský přístup, aby ji mohli využít. Společnost ESET tuto chybu zabezpečení opravila v lednu 2025 a vydala aktualizace pro své spotřebitelské, podnikové a serverové bezpečnostní produkty na Windows.
Weaponizing EDRSandBlast: Jak TCESB deaktivuje bezpečnostní ochranu
TCESB je upravená verze open-source nástroje EDRSandBlast. Manipuluje se strukturami jádra tak, aby deaktivoval bezpečnostní mechanismy, jako jsou oznamovací rutiny (zpětná volání), což jsou klíčové funkce, které upozorňují systémové ovladače na kritické události, jako je vytvoření procesu nebo změny registru.
K dosažení tohoto cíle používá TCESB dobře známou techniku Bring Your Own Vulnerable Driver (BYOVD), která instaluje zranitelný ovladač Dell (DBUtilDrv2.sys) prostřednictvím rozhraní Správce zařízení. Tento ovladač je ovlivněn CVE-2021-36276, což je chyba zabezpečení týkající se eskalace oprávnění.
Ovladače Dell: Opakující se slabý článek
Není to poprvé, co byli řidiči Dell zneužiti při kybernetických útocích. V roce 2022 využila skupina Lazarus napojená na Severní Koreu další zranitelnost ovladače Dell (CVE-2021-21551) k deaktivaci bezpečnostních mechanismů. Útočníci nadále využívají zastaralé nebo zranitelné řidiče k obcházení bezpečnostních opatření.
Strategie provádění TCESB
Jakmile je zranitelný ovladač nainstalován, TCESB nepřetržitě kontroluje každé dvě sekundy soubor užitečného zatížení se specifickým názvem v aktuálním adresáři. Pokud užitečné zatížení zpočátku není přítomno, TCESB čeká, dokud se neobjeví. Užitná zátěž, zašifrovaná pomocí AES-128, je poté dekódována a spuštěna.
Detekční a preventivní opatření
- Aby bezpečnostní týmy čelily těmto hrozbám, měly by:
- Sledujte události instalace ovladačů, zejména ty, které zahrnují zranitelné ovladače.
- Sledujte podezřelou aktivitu ladění jádra, zejména na systémech, kde se ladění jádra neočekává.
- Zajistěte, aby byl veškerý bezpečnostní software aktualizován, včetně oprav známých zranitelností.
- Omezte administrátorská oprávnění, abyste zabránili útočníkům ve zneužití těchto chyb zabezpečení.
Vzhledem k tomu, že aktéři kybernetických hrozeb se neustále vyvíjejí, je při obraně proti sofistikovaným útokům, jako jsou ty, které provádí ToddyCat, zásadní zůstat ostražití a implementovat proaktivní bezpečnostní opatření.
