بدافزار TCESB

یک عامل تهدید وابسته به چین که به‌خاطر حملات سایبری خود در سراسر آسیا شناخته می‌شود، مشاهده شد که از یک آسیب‌پذیری در نرم‌افزار امنیتی ESET برای ارائه بدافزاری که قبلاً مستند نشده بود، با نام رمز TCESB، سوء استفاده می‌کرد. این بدافزار تازه کشف شده برای دور زدن اقدامات امنیتی و اجرای بارهای ناشناخته طراحی شده است.

ToddyCat: تهدیدی دائمی در آسیا

ToddyCat، یک گروه تهدید پیشرفته، حداقل از دسامبر 2020 فعال بوده و چندین نهاد در آسیا را هدف قرار داده است. تحقیقات اخیر در مورد فعالیت‌های آنها نشان داد که آنها از ابزارهای مختلف برای حفظ دسترسی مداوم به سیستم‌های آسیب‌دیده و جمع‌آوری مقادیر زیادی داده از سازمان‌های منطقه آسیا و اقیانوسیه استفاده می‌کنند.

بهره برداری از نقص: تکنیک ربودن DLL

محققان امنیتی که در اوایل سال 2024 حوادث مربوط به ToddyCat را بررسی می‌کردند، یک فایل DLL مشکوک به نام «version.dll» را در فهرست موقت چند دستگاه در معرض خطر کشف کردند. این فایل که به عنوان TCESB شناخته می شود، با استفاده از DLL Search Order Hijacking مستقر شده است، که به مهاجمان اجازه می دهد تا با جایگزین کردن فایل های DLL قانونی، اجرای برنامه را کنترل کنند.

این حمله یک نقص در اسکنر خط فرمان ESET ایجاد می کند که به طور ناامن فایل 'version.dll' را بارگیری می کند. به جای بارگیری نسخه قانونی از دایرکتوری های سیستم، ابتدا دایرکتوری فعلی را بررسی می کند و به مهاجمان فرصتی می دهد تا DLL مخرب خود را معرفی کنند.

CVE-2024-11859: آسیب پذیری مورد سوء استفاده

این آسیب‌پذیری به‌عنوان CVE-2024-11859 (امتیاز CVSS: 6.8) ردیابی می‌شود، و مهاجمان دارای امتیازات سرپرست را قادر می‌سازد تا کد ناامن را اجرا کنند. با این حال، این نقص به خودی خود امتیازات بالایی را اعطا نمی کرد - مهاجمان قبلاً برای سوء استفاده از آن به دسترسی مدیر نیاز داشتند. ESET در ژانویه 2025 این آسیب‌پذیری را اصلاح کرد و به‌روزرسانی‌هایی را برای محصولات امنیتی مصرف‌کننده، تجاری و سرور خود در ویندوز منتشر کرد.

تسلیح سازی EDRSandBlast: چگونه TCESB حفاظت های امنیتی را غیرفعال می کند

TCESB نسخه اصلاح شده ابزار منبع باز EDRSandBlast است. ساختارهای هسته را برای غیرفعال کردن مکانیسم‌های امنیتی مانند روتین‌های اعلان (بازگشت تماس) دستکاری می‌کند، که عملکردهای کلیدی هستند که به رانندگان سیستم در مورد رویدادهای مهم مانند ایجاد فرآیند یا تغییرات رجیستری هشدار می‌دهند.

برای دستیابی به این هدف، TCESB از تکنیک معروف Bring Your Own Vulnerable Driver (BYOVD) استفاده می کند که یک درایور آسیب پذیر Dell (DBUtilDrv2.sys) را از طریق رابط مدیر دستگاه نصب می کند. این درایور تحت تأثیر CVE-2021-36276، یک آسیب پذیری افزایش امتیاز است.

درایورهای دل: یک پیوند ضعیف مکرر

این اولین بار نیست که رانندگان دل در حملات سایبری مورد سوء استفاده قرار می گیرند. در سال 2022، گروه لازاروس مرتبط با کره شمالی از آسیب‌پذیری دیگر درایور Dell (CVE-2021-21551) برای غیرفعال کردن مکانیسم‌های امنیتی استفاده کرد. مهاجمان همچنان از رانندگان قدیمی یا آسیب پذیر برای دور زدن اقدامات امنیتی استفاده می کنند.

استراتژی اجرایی TCESB

پس از نصب درایور آسیب‌پذیر، TCESB به‌طور مداوم هر دو ثانیه یک فایل payload را با نامی خاص در فهرست فعلی بررسی می‌کند. اگر محموله در ابتدا وجود نداشته باشد، TCESB منتظر می ماند تا ظاهر شود. محموله که با استفاده از AES-128 رمزگذاری شده است، سپس رمزگشایی و اجرا می شود.

اقدامات تشخیص و پیشگیری

• برای مقابله با چنین تهدیداتی، تیم های امنیتی باید:
• رویدادهای نصب درایور، به ویژه مواردی که درایورهای آسیب پذیر را شامل می شوند، نظارت کنید.
• مراقب فعالیت های اشکال زدایی هسته مشکوک باشید، به ویژه در سیستم هایی که در آن ها اشکال زدایی هسته مورد انتظار نیست.
• اطمینان حاصل کنید که همه نرم افزارهای امنیتی، از جمله وصله های آسیب پذیری شناخته شده، به روز هستند.
• برای جلوگیری از سوء استفاده مهاجمان از چنین آسیب‌پذیری‌ها، امتیازات سرپرست را محدود کنید.

همانطور که بازیگران تهدید سایبری به تکامل خود ادامه می دهند، هوشیاری و اجرای اقدامات امنیتی پیشگیرانه برای دفاع در برابر حملات پیچیده مانند حملات ToddyCat بسیار مهم است.