TCESB pahavara
On täheldatud, et Hiinaga seotud ohutegija, kes on tuntud oma küberrünnakute poolest kogu Aasias, kasutab ära ESET-i turvatarkvara haavatavust, et edastada varem dokumenteerimata pahavara, koodnimega TCESB. See äsja avastatud pahavara on loodud turvameetmetest möödahiilimiseks ja avastamatult kasuliku koormuse täitmiseks.
Sisukord
ToddyCat: püsiv oht Aasias
Täiustatud ohurühm ToddyCat on tegutsenud vähemalt 2020. aasta detsembrist, sihiks mitut üksust Aasias. Nende tegevuse hiljutised uuringud näitasid, et nad kasutavad erinevaid tööriistu, et säilitada pidev juurdepääs ohustatud süsteemidele ja koguda Aasia ja Vaikse ookeani piirkonna organisatsioonidelt tohutul hulgal andmeid.
Vea ärakasutamine: DLL-i kaaperdamise tehnika
2024. aasta alguses ToddyCatiga seotud intsidente uurinud turvauurijad avastasid mitme ohustatud seadme ajutise kataloogi kataloogist kahtlase DLL-faili „version.dll”. See fail, mida nimetatakse TCESB-ks, juurutati DLL-i otsingujärjekorra kaaperdamise abil, mis võimaldab ründajatel kontrollida programmi täitmist, asendades seaduslikud DLL-failid.
Rünnak kasutab ESET-i käsureaskanneri viga, mis laadib faili „version.dll” ebaturvaliselt. Selle asemel, et laadida seaduslik versioon süsteemikataloogidest, kontrollib see esmalt praegust kataloogi, andes ründajatele võimaluse tutvustada oma pahatahtlikku DLL-i.
CVE-2024-11859: ärakasutatud haavatavus
See haavatavus, mida jälgitakse kui CVE-2024-11859 (CVSS skoor: 6,8), võimaldas administraatoriõigustega ründajatel käivitada ebaturvalist koodi. Kuid viga ise ei andnud kõrgemaid õigusi – ründajad vajasid selle ärakasutamiseks juba administraatori juurdepääsu. ESET parandas haavatavuse 2025. aasta jaanuaris, väljastades värskendusi oma Windowsi tarbija-, äri- ja serveriturbetoodetele.
EDRSandBlast relvastamine: kuidas TCESB turbekaitse keelab
TCESB on avatud lähtekoodiga tööriista EDRSandBlast muudetud versioon. See manipuleerib kerneli struktuuridega, et keelata turvamehhanismid, nagu teavitusrutiinid (tagasihelistamised), mis on põhifunktsioonid, mis hoiatavad süsteemi draivereid selliste kriitiliste sündmuste eest nagu protsesside loomine või registrimuudatused.
Selle saavutamiseks kasutab TCESB tuntud BYOVD (Bring Your Own Vulnerable Driver) tehnikat, installides seadmehalduri liidese kaudu haavatava Delli draiveri (DBUtilDrv2.sys). Seda draiverit mõjutab õiguste eskalatsiooni haavatavus CVE-2021-36276.
Delli draiverid: korduv nõrk lüli
See pole esimene kord, kui Delli draivereid küberrünnakutes kuritarvitatakse. 2022. aastal kasutas Põhja-Koreaga seotud Lazarus Group turvamehhanismide keelamiseks ära teist Delli draiveri haavatavust (CVE-2021-21551). Ründajad kasutavad turvameetmetest möödahiilimiseks jätkuvalt aegunud või haavatavaid draivereid.
TCESB elluviimise strateegia
Kui haavatav draiver on installitud, kontrollib TCESB pidevalt iga kahe sekundi järel, kas praeguses kataloogis on konkreetse nimega koormuse fail. Kui kasulikku koormust esialgu pole, ootab TCESB, kuni see kuvatakse. Seejärel dekodeeritakse ja käivitatakse AES-128 abil krüpteeritud kasulik koormus.
Avastamis- ja ennetusmeetmed
- Selliste ohtude vastu võitlemiseks peaksid turvameeskonnad:
- Jälgige draiverite installimise sündmusi, eriti neid, mis hõlmavad haavatavaid draivereid.
- Jälgige kahtlast kerneli silumist, eriti süsteemides, kus kerneli silumist pole oodata.
- Veenduge, et kogu turbetarkvara oleks värskendatud, sealhulgas teadaolevate haavatavuste paigad.
- Piirake administraatori õigusi, et takistada ründajatel selliseid turvaauke ära kasutamast.
Kuna küberohtudes osalejad arenevad edasi, on valvsus ja ennetavate turvameetmete rakendamine ülioluline, et kaitsta keeruliste rünnakute eest, nagu ToddyCat.
