TCESB haittaohjelma
Kiinaan sidoksissa olevan uhkatekijän, joka tunnetaan kyberhyökkäyksistään kaikkialla Aasiassa, on havaittu hyödyntävän ESET-tietoturvaohjelmiston haavoittuvuutta toimittaakseen aiemmin dokumentoimattoman haittaohjelman, koodinimeltään TCESB. Tämä hiljattain löydetty haittaohjelma on suunniteltu ohittamaan turvatoimenpiteet ja suorittamaan hyötykuormia havaitsematta.
Sisällysluettelo
ToddyCat: jatkuva uhka Aasiassa
Edistyksellinen uhkaryhmä ToddyCat on ollut aktiivinen ainakin joulukuusta 2020 lähtien ja se on kohdistettu useisiin yksiköihin Aasiassa. Viimeaikaiset tutkimukset heidän toiminnastaan paljastivat, että he käyttävät erilaisia työkaluja ylläpitääkseen jatkuvaa pääsyä vaarantuneisiin järjestelmiin ja kerätäkseen valtavia määriä tietoja organisaatioilta Aasian ja Tyynenmeren alueella.
Virheen hyödyntäminen: DLL-kaappaustekniikka
Tietoturvatutkijat, jotka tutkivat ToddyCatiin liittyviä tapauksia vuoden 2024 alussa, löysivät epäilyttävän DLL-tiedoston "version.dll" useiden vaarantuneiden laitteiden väliaikaisesta hakemistosta. Tämä tiedosto, joka tunnetaan nimellä TCESB, otettiin käyttöön käyttämällä DLL Search Order Hijacking -toimintoa, jonka avulla hyökkääjät voivat hallita ohjelman suorittamista korvaamalla lailliset DLL-tiedostot.
Hyökkäys hyödyntää ESETin Command Line Scannerin virhettä, joka lataa versio.dll-tiedoston epäturvallisesti. Sen sijaan, että se lataa laillisen version järjestelmähakemistoista, se tarkistaa ensin nykyisen hakemiston, jolloin hyökkääjät voivat ottaa käyttöön oman haitallisen DLL:n.
CVE-2024-11859: Hyödynnetty haavoittuvuus
Tämä haavoittuvuus, jota jäljitettiin nimellä CVE-2024-11859 (CVSS-pistemäärä: 6,8), mahdollisti järjestelmänvalvojan oikeuksin saaneet hyökkääjät suorittamaan vaarallista koodia. Virhe itsessään ei kuitenkaan antanut korkeampia oikeuksia – hyökkääjät tarvitsivat jo järjestelmänvalvojan oikeudet hyödyntääkseen sitä. ESET korjasi haavoittuvuuden tammikuussa 2025 ja julkaisi päivityksiä kuluttaja-, yritys- ja palvelintietoturvatuotteisiinsa Windowsissa.
EDRSandBlastin aseistaminen: Kuinka TCESB poistaa suojaukset käytöstä
TCESB on muokattu versio avoimen lähdekoodin työkalusta EDRSandBlast. Se käsittelee ytimen rakenteita poistaakseen käytöstä suojausmekanismit, kuten ilmoitusrutiinit (takaisinkutsut), jotka ovat keskeisiä toimintoja, jotka varoittavat järjestelmän ohjaimia kriittisistä tapahtumista, kuten prosessin luomisesta tai rekisterin muutoksista.
Tämän saavuttamiseksi TCESB käyttää tunnettua BYOVD (Bring Your Own Vulnerable Driver) -tekniikkaa, joka asentaa haavoittuvan Dell-ohjaimen (DBUtilDrv2.sys) laitehallintaliittymän kautta. Tähän ohjaimeen vaikuttaa CVE-2021-36276, käyttöoikeuksien eskalaatiohaavoittuvuus.
Dellin ohjaimet: Toistuva heikko lenkki
Tämä ei ole ensimmäinen kerta, kun Dellin ohjaimia on käytetty väärin kyberhyökkäyksissä. Vuonna 2022 Pohjois-Koreaan liittyvä Lazarus Group käytti hyväkseen toista Dellin ohjainhaavoittuvuutta (CVE-2021-21551) poistaakseen suojausmekanismit käytöstä. Hyökkääjät käyttävät edelleen vanhentuneita tai haavoittuvia ohjaimia ohittaakseen turvatoimenpiteet.
TCESB:n toteutusstrategia
Kun haavoittuva ohjain on asennettu, TCESB tarkistaa jatkuvasti kahden sekunnin välein tietynnimisen hyötykuormatiedoston nykyisestä hakemistosta. Jos hyötykuormaa ei ole alussa, TCESB odottaa, kunnes se tulee näkyviin. Hyötykuorma, joka on salattu AES-128:lla, dekoodataan ja suoritetaan.
Havaitsemis- ja ehkäisytoimenpiteet
- Tällaisten uhkien torjumiseksi turvallisuustiimien tulee:
- Tarkkaile ohjaimen asennustapahtumia, erityisesti sellaisia, joihin liittyy haavoittuvia ohjaimia.
- Tarkkaile epäilyttävää ytimen virheenkorjaustoimintaa, erityisesti järjestelmissä, joissa ytimen virheenkorjausta ei odoteta.
- Varmista, että kaikki tietoturvaohjelmistot on päivitetty, mukaan lukien korjaustiedostot tunnettuihin haavoittuvuuksiin.
- Rajoita järjestelmänvalvojan oikeuksia estääksesi hyökkääjiä hyödyntämästä tällaisia haavoittuvuuksia.
Kyberuhkien toimijoiden kehittyessä jatkuvasti valppaana pysyminen ja ennakoivien turvatoimien toteuttaminen on ratkaisevan tärkeää suojautuessa ToddyCatin kaltaisia kehittyneitä hyökkäyksiä vastaan.
