Κακόβουλο λογισμικό TCESB
Ένας συνδεδεμένος με την Κίνα παράγοντας απειλών, γνωστός για τις επιθέσεις του στον κυβερνοχώρο σε όλη την Ασία, έχει παρατηρηθεί να εκμεταλλεύεται μια ευπάθεια στο λογισμικό ασφαλείας ESET για να παραδώσει ένα κακόβουλο λογισμικό που δεν είχε τεκμηριωθεί στο παρελθόν, με την κωδική ονομασία TCESB. Αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα έχει σχεδιαστεί για να παρακάμπτει τα μέτρα ασφαλείας και να εκτελεί ωφέλιμα φορτία απαρατήρητα.
Πίνακας περιεχομένων
ToddyCat: Μια επίμονη απειλή στην Ασία
Η ToddyCat, μια προηγμένη ομάδα απειλών, δραστηριοποιείται τουλάχιστον από τον Δεκέμβριο του 2020, στοχεύοντας πολλές οντότητες στην Ασία. Πρόσφατες έρευνες για τις δραστηριότητές τους αποκάλυψαν τη χρήση διαφόρων εργαλείων για τη διατήρηση της επίμονης πρόσβασης σε παραβιασμένα συστήματα και τη συλλογή τεράστιων ποσοτήτων δεδομένων από οργανισμούς στην περιοχή Ασίας-Ειρηνικού.
Εκμετάλλευση του ελαττώματος: Η τεχνική της πειρατείας DLL
Ερευνητές ασφαλείας που διερεύνησαν περιστατικά που σχετίζονται με το ToddyCat στις αρχές του 2024 ανακάλυψαν ένα ύποπτο αρχείο DLL, «version.dll», στον κατάλογο temp πολλών παραβιασμένων συσκευών. Αυτό το αρχείο, που προσδιορίζεται ως TCESB, αναπτύχθηκε χρησιμοποιώντας το DLL Search Order Hijacking, το οποίο επιτρέπει στους εισβολείς να ελέγχουν την εκτέλεση του προγράμματος αντικαθιστώντας τα νόμιμα αρχεία DLL.
Η επίθεση αξιοποιεί ένα ελάττωμα στο Command Line Scanner της ESET, το οποίο φορτώνει με ανασφάλεια το αρχείο 'version.dll'. Αντί να φορτώνει τη νόμιμη έκδοση από καταλόγους συστήματος, ελέγχει πρώτα τον τρέχοντα κατάλογο, δίνοντας στους εισβολείς την ευκαιρία να εισαγάγουν το δικό τους κακόβουλο DLL.
CVE-2024-11859: The Exploited Vulnerability
Αυτή η ευπάθεια παρακολουθείται ως CVE-2024-11859 (βαθμολογία CVSS: 6,8), επέτρεψε στους εισβολείς με δικαιώματα διαχειριστή να εκτελούν μη ασφαλή κώδικα. Ωστόσο, το ίδιο το ελάττωμα δεν παρείχε αυξημένα προνόμια - οι εισβολείς χρειάζονταν ήδη πρόσβαση διαχειριστή για να το εκμεταλλευτούν. Η ESET επιδιορθώνει την ευπάθεια τον Ιανουάριο του 2025, εκδίδοντας ενημερώσεις για τα προϊόντα ασφαλείας των καταναλωτών, των επιχειρήσεων και των διακομιστών της στα Windows.
Οπλισμός του EDRSandBlast: Πώς το TCESB απενεργοποιεί τις προστασίες ασφαλείας
Το TCESB είναι μια τροποποιημένη έκδοση του εργαλείου ανοιχτού κώδικα EDRSandBlast. Χειρίζεται τις δομές του πυρήνα για να απενεργοποιήσει μηχανισμούς ασφαλείας, όπως ρουτίνες ειδοποιήσεων (επιστροφές κλήσεων), οι οποίες είναι βασικές λειτουργίες που ειδοποιούν τα προγράμματα οδήγησης του συστήματος για κρίσιμα συμβάντα όπως η δημιουργία διεργασιών ή οι αλλαγές μητρώου.
Για να το πετύχει αυτό, το TCESB χρησιμοποιεί μια πολύ γνωστή τεχνική Bring Your Own Vulnerable Driver (BYOVD), εγκαθιστώντας ένα ευάλωτο πρόγραμμα οδήγησης Dell (DBUtilDrv2.sys) μέσω της διεπαφής Device Manager. Αυτό το πρόγραμμα οδήγησης επηρεάζεται από το CVE-2021-36276, μια ευπάθεια κλιμάκωσης προνομίων.
Προγράμματα οδήγησης Dell: Ένας επαναλαμβανόμενος αδύναμος κρίκος
Δεν είναι η πρώτη φορά που οι οδηγοί της Dell υφίστανται κατάχρηση σε κυβερνοεπιθέσεις. Το 2022, ο όμιλος Lazarus που συνδέεται με τη Βόρεια Κορέα εκμεταλλεύτηκε μια άλλη ευπάθεια του προγράμματος οδήγησης της Dell (CVE-2021-21551) για να απενεργοποιήσει τους μηχανισμούς ασφαλείας. Οι επιτιθέμενοι συνεχίζουν να αξιοποιούν ξεπερασμένους ή ευάλωτους οδηγούς για να παρακάμψουν τα μέτρα ασφαλείας.
Στρατηγική Εκτέλεσης του TCESB
Μόλις εγκατασταθεί το ευάλωτο πρόγραμμα οδήγησης, το TCESB ελέγχει συνεχώς κάθε δύο δευτερόλεπτα για ένα αρχείο ωφέλιμου φορτίου με συγκεκριμένο όνομα στον τρέχοντα κατάλογο. Εάν το ωφέλιμο φορτίο δεν υπάρχει αρχικά, το TCESB περιμένει μέχρι να εμφανιστεί. Το ωφέλιμο φορτίο, κρυπτογραφημένο με χρήση AES-128, στη συνέχεια αποκωδικοποιείται και εκτελείται.
Μέτρα Ανίχνευσης και Πρόληψης
- Για την αντιμετώπιση τέτοιων απειλών, οι ομάδες ασφαλείας θα πρέπει:
- Παρακολούθηση συμβάντων εγκατάστασης προγραμμάτων οδήγησης, ειδικά εκείνων που αφορούν ευάλωτα προγράμματα οδήγησης.
- Παρακολουθήστε για ύποπτη δραστηριότητα εντοπισμού σφαλμάτων πυρήνα, ιδιαίτερα σε συστήματα όπου δεν αναμένεται εντοπισμός σφαλμάτων πυρήνα.
- Βεβαιωθείτε ότι όλο το λογισμικό ασφαλείας είναι ενημερωμένο, συμπεριλαμβανομένων των ενημερώσεων κώδικα για γνωστά τρωτά σημεία.
- Περιορίστε τα δικαιώματα διαχειριστή για να αποτρέψετε τους εισβολείς να εκμεταλλευτούν τέτοια τρωτά σημεία.
Καθώς οι φορείς απειλών στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η παραμονή σε επαγρύπνηση και η εφαρμογή προληπτικών μέτρων ασφαλείας είναι ζωτικής σημασίας για την άμυνα έναντι εξελιγμένων επιθέσεων όπως αυτές που πραγματοποιεί η ToddyCat.
