תוכנה זדונית של TCESB

שחקן איומים המזוהה עם סיני הידוע בהתקפות הסייבר שלו ברחבי אסיה נצפה מנצל פגיעות בתוכנת האבטחה של ESET כדי לספק תוכנה זדונית שלא תועדה בעבר, בשם הקוד TCESB. תוכנה זדונית שהתגלתה לאחרונה נועדה לעקוף אמצעי אבטחה ולהפעיל עומסים ללא זיהוי.

ToddyCat: איום מתמשך באסיה

ToddyCat, קבוצת איומים מתקדמת, פעילה לפחות מאז דצמבר 2020, ומכוונת למספר גופים באסיה. חקירות אחרונות על פעילותם חשפו את השימוש שלהם בכלים שונים כדי לשמור על גישה מתמשכת למערכות שנפגעו ולאסוף כמויות אדירות של נתונים מארגונים באזור אסיה-פסיפיק.

ניצול הפגם: טכניקת חטיפת ה-DLL

חוקרי אבטחה שחקרו תקריות הקשורות ל-ToddyCat בתחילת 2024 גילו קובץ DLL חשוד, 'version.dll', בספרייה הזמנית של מספר מכשירים שנפגעו. קובץ זה, שזוהה כ-TCESB, נפרס באמצעות DLL Search Order Hijacking, המאפשר לתוקפים לשלוט בביצוע תוכניות על ידי החלפת קבצי DLL לגיטימיים.

ההתקפה ממנפת פגם בסורק שורת הפקודה של ESET, אשר טוען בצורה לא מאובטחת את הקובץ 'version.dll'. במקום לטעון את הגרסה הלגיטימית מספריות המערכת, הוא בודק תחילה את הספרייה הנוכחית, נותן לתוקפים הזדמנות להציג DLL זדוני משלהם.

CVE-2024-11859: הפגיעות המנוצלת

פגיעות זו במעקב כ-CVE-2024-11859 (ציון CVSS: 6.8), אפשרה לתוקפים עם הרשאות מנהל להפעיל קוד לא בטוח. עם זאת, הפגם עצמו לא העניק הרשאות מוגברות - התוקפים כבר היו צריכים גישת מנהל כדי לנצל אותו. ESET תיקנה את הפגיעות בינואר 2025, והנפיקה עדכונים עבור מוצרי האבטחה לצרכנים, עסקיים ושרתים ב-Windows.

הפעלת נשק של EDRSandBlast: כיצד TCESB משבית את הגנות האבטחה

TCESB היא גרסה שונה של כלי הקוד הפתוח EDRSandBlast. הוא מפעיל מניפולציות על מבני ליבה כדי להשבית מנגנוני אבטחה כגון שגרות הודעות (התקשרות חוזרת), שהן פונקציות מפתח שמתריעות בפני מנהלי מערכת על אירועים קריטיים כמו יצירת תהליכים או שינויים ברישום.

כדי להשיג זאת, TCESB משתמש בטכניקת Bring Your Own Vulnerable Driver (BYOVD) ידועה, תוך התקנת מנהל התקן פגיע של Dell (DBUtilDrv2.sys) דרך ממשק מנהל ההתקנים. מנהל התקן זה מושפע מ-CVE-2021-36276, פגיעות של הסלמה של הרשאות.

מנהלי התקנים של Dell: חוליה חלשה חוזרת

זו לא הפעם הראשונה שנהגים של Dell עוברים התעללות בהתקפות סייבר. בשנת 2022, קבוצת Lazarus המקושרת לצפון קוריאה ניצלה פגיעות נוספת של נהגים של Dell (CVE-2021-21551) כדי להשבית את מנגנוני האבטחה. התוקפים ממשיכים למנף נהגים מיושנים או פגיעים כדי לעקוף אמצעי אבטחה.

אסטרטגיית הביצוע של TCESB

לאחר התקנת מנהל ההתקן הפגיע, TCESB בודק ברציפות כל שתי שניות עבור קובץ מטען עם שם ספציפי בספרייה הנוכחית. אם המטען אינו קיים בתחילה, TCESB ממתין עד להופעתו. לאחר מכן, המטען, המוצפן באמצעות AES-128, מפוענח ומבוצע.

אמצעי גילוי ומניעה

• כדי להתמודד עם איומים כאלה, צוותי האבטחה צריכים:
• מעקב אחר אירועי התקנת מנהלי התקנים, במיוחד אלה הכוללים מנהלי התקנים פגיעים.
• צפה בפעילות חשודה של ניפוי באגים בליבה, במיוחד במערכות שבהן לא צפוי איתור באגים בליבה.
• ודא שכל תוכנות האבטחה מעודכנות, כולל תיקונים עבור פגיעויות ידועות.
• הגבל הרשאות מנהל כדי למנוע מתוקפים לנצל פגיעויות כאלה.

ככל שגורמי איומי סייבר ממשיכים להתפתח, שמירה על ערנות ויישום אמצעי אבטחה יזומים היא חיונית בהגנה מפני התקפות מתוחכמות כמו אלו שבוצעו על ידי ToddyCat.