TCESB Malware
En kinesisk-tilknyttet trusselsaktør kendt for sine cyberangreb i hele Asien er blevet observeret udnytte en sårbarhed i ESET-sikkerhedssoftwaren til at levere en tidligere udokumenteret malware, kodenavnet TCESB. Denne nyopdagede malware er designet til at omgå sikkerhedsforanstaltninger og udføre nyttelast uopdaget.
Indholdsfortegnelse
ToddyCat: En vedvarende trussel i Asien
ToddyCat, en avanceret trusselgruppe, har været aktiv siden mindst december 2020, rettet mod flere enheder i Asien. Nylige undersøgelser af deres aktiviteter afslørede deres brug af forskellige værktøjer til at opretholde vedvarende adgang til kompromitterede systemer og indsamle enorme mængder data fra organisationer i Asien-Stillehavsområdet.
Udnyttelse af fejlen: DLL-kapringsteknikken
Sikkerhedsforskere, der undersøgte ToddyCat-relaterede hændelser i begyndelsen af 2024, opdagede en mistænkelig DLL-fil, 'version.dll', i det midlertidige bibliotek på flere kompromitterede enheder. Denne fil, identificeret som TCESB, blev implementeret ved hjælp af DLL Search Order Hijacking, som giver angribere mulighed for at kontrollere programudførelse ved at erstatte legitime DLL-filer.
Angrebet udnytter en fejl i ESETs kommandolinjescanner, som på en usikker måde indlæser 'version.dll'-filen. I stedet for at indlæse den legitime version fra systemmapper, tjekker den først den aktuelle mappe, hvilket giver angribere mulighed for at introducere deres egen ondsindede DLL.
CVE-2024-11859: Den udnyttede sårbarhed
Denne sårbarhed sporet som CVE-2024-11859 (CVSS-score: 6,8), gjorde det muligt for angribere med administratorrettigheder at udføre usikker kode. Men selve fejlen gav ikke forhøjede privilegier - angribere havde allerede brug for administratoradgang for at udnytte den. ESET fiksede sårbarheden i januar 2025 og udsendte opdateringer til sine forbruger-, virksomheds- og serversikkerhedsprodukter på Windows.
Weaponizing EDRSandBlast: Hvordan TCESB deaktiverer sikkerhedsbeskyttelse
TCESB er en modificeret version af open source-værktøjet EDRSandBlast. Det manipulerer kernestrukturer for at deaktivere sikkerhedsmekanismer såsom meddelelsesrutiner (tilbagekald), som er nøglefunktioner, der advarer systemdrivere om kritiske hændelser som procesoprettelse eller registreringsændringer.
For at opnå dette anvender TCESB en velkendt Bring Your Own Vulnerable Driver (BYOVD)-teknik, der installerer en sårbar Dell-driver (DBUtilDrv2.sys) via Device Manager-grænsefladen. Denne driver er påvirket af CVE-2021-36276, en sårbarhed med eskalering af rettigheder.
Dell-drivere: Et tilbagevendende svagt led
Det er ikke første gang, Dell-drivere er blevet misbrugt i cyberangreb. I 2022 udnyttede den nordkoreanske Lazarus Group en anden Dell-driversårbarhed (CVE-2021-21551) til at deaktivere sikkerhedsmekanismer. Angribere fortsætter med at udnytte forældede eller sårbare drivere til at omgå sikkerhedsforanstaltninger.
TCESB's udførelsesstrategi
Når den sårbare driver er installeret, tjekker TCESB løbende hvert andet sekund for en nyttelastfil med et specifikt navn i den aktuelle mappe. Hvis nyttelasten ikke er til stede i starten, venter TCESB, indtil den vises. Nyttelasten, krypteret med AES-128, afkodes og udføres derefter.
Detektion og forebyggelsesforanstaltninger
- For at imødegå sådanne trusler bør sikkerhedshold:
- Overvåg for driverinstallationshændelser, især dem, der involverer sårbare drivere.
- Hold øje med mistænkelig kernefejlfindingsaktivitet, især på systemer, hvor kernefejlretning ikke forventes.
- Sørg for, at al sikkerhedssoftware er opdateret, inklusive patches til kendte sårbarheder.
- Begræns administratorrettigheder for at forhindre angribere i at udnytte sådanne sårbarheder.
Efterhånden som cybertrusselsaktører fortsætter med at udvikle sig, er det afgørende at være på vagt og implementere proaktive sikkerhedsforanstaltninger for at forsvare sig mod sofistikerede angreb som dem, der udføres af ToddyCat.
