TCESB Malware

एशिया भर में अपने साइबर हमलों के लिए जाने जाने वाले एक चीनी-संबद्ध ख़तरा अभिनेता को ESET सुरक्षा सॉफ़्टवेयर में एक कमज़ोरी का फ़ायदा उठाते हुए देखा गया है, जिसके लिए पहले से अज्ञात मैलवेयर, कोडनाम TCESB दिया गया है। इस नए खोजे गए मैलवेयर को सुरक्षा उपायों को दरकिनार करने और बिना पता लगाए पेलोड निष्पादित करने के लिए डिज़ाइन किया गया है।

टोडीकैट: एशिया में एक सतत खतरा

टोडीकैट, एक उन्नत खतरा समूह, कम से कम दिसंबर 2020 से सक्रिय है, जो एशिया में कई संस्थाओं को निशाना बना रहा है। उनकी गतिविधियों की हालिया जांच से पता चला है कि वे समझौता किए गए सिस्टम तक लगातार पहुंच बनाए रखने और एशिया-प्रशांत क्षेत्र में संगठनों से बड़ी मात्रा में डेटा एकत्र करने के लिए विभिन्न उपकरणों का उपयोग करते हैं।

दोष का फायदा उठाना: DLL अपहरण तकनीक

2024 की शुरुआत में टोडीकैट से जुड़ी घटनाओं की जांच कर रहे सुरक्षा शोधकर्ताओं ने कई संक्रमित डिवाइस की अस्थायी निर्देशिका में एक संदिग्ध DLL फ़ाइल, 'version.dll' की खोज की। TCESB के रूप में पहचानी गई इस फ़ाइल को DLL सर्च ऑर्डर हाइजैकिंग का उपयोग करके तैनात किया गया था, जो हमलावरों को वैध DLL फ़ाइलों को बदलकर प्रोग्राम निष्पादन को नियंत्रित करने की अनुमति देता है।

यह हमला ESET के कमांड लाइन स्कैनर में एक खामी का लाभ उठाता है, जो 'version.dll' फ़ाइल को असुरक्षित रूप से लोड करता है। सिस्टम निर्देशिकाओं से वैध संस्करण लोड करने के बजाय, यह पहले वर्तमान निर्देशिका की जाँच करता है, जिससे हमलावरों को अपना स्वयं का दुर्भावनापूर्ण DLL पेश करने का अवसर मिलता है।

CVE-2024-11859: शोषित भेद्यता

CVE-2024-11859 (CVSS स्कोर: 6.8) के रूप में ट्रैक की गई यह भेद्यता, व्यवस्थापक विशेषाधिकार वाले हमलावरों को असुरक्षित कोड निष्पादित करने में सक्षम बनाती है। हालाँकि, दोष स्वयं उन्नत विशेषाधिकार प्रदान नहीं करता था - हमलावरों को इसका फायदा उठाने के लिए पहले से ही व्यवस्थापक पहुँच की आवश्यकता थी। ESET ने जनवरी 2025 में भेद्यता को पैच किया, Windows पर अपने उपभोक्ता, व्यवसाय और सर्वर सुरक्षा उत्पादों के लिए अपडेट जारी किए।

EDRSandBlast को हथियार बनाना: TCESB किस प्रकार सुरक्षा उपायों को निष्क्रिय करता है

TCESB ओपन-सोर्स टूल EDRSandBlast का संशोधित संस्करण है। यह कर्नेल संरचनाओं में हेरफेर करके सुरक्षा तंत्र जैसे कि अधिसूचना रूटीन (कॉलबैक) को अक्षम करता है, जो कि महत्वपूर्ण फ़ंक्शन हैं जो सिस्टम ड्राइवरों को प्रक्रिया निर्माण या रजिस्ट्री परिवर्तनों जैसी महत्वपूर्ण घटनाओं के बारे में सचेत करते हैं।

इसे प्राप्त करने के लिए, TCESB एक प्रसिद्ध ब्रिंग योर ओन वल्नरेबल ड्राइवर (BYOVD) तकनीक का उपयोग करता है, डिवाइस मैनेजर इंटरफ़ेस के माध्यम से एक कमजोर डेल ड्राइवर (DBUtilDrv2.sys) स्थापित करता है। यह ड्राइवर CVE-2021-36276, एक विशेषाधिकार वृद्धि भेद्यता से प्रभावित है।

डेल ड्राइवर्स: एक बार फिर सामने आने वाली कमज़ोर कड़ी

यह पहली बार नहीं है जब साइबर हमलों में डेल ड्राइवरों का दुरुपयोग किया गया है। 2022 में, उत्तर कोरिया से जुड़े लाजरस समूह ने सुरक्षा तंत्र को अक्षम करने के लिए एक और डेल ड्राइवर भेद्यता (CVE-2021-21551) का फायदा उठाया। हमलावर सुरक्षा उपायों को दरकिनार करने के लिए पुराने या कमजोर ड्राइवरों का लाभ उठाना जारी रखते हैं।

टीसीईएसबी की कार्यान्वयन रणनीति

एक बार जब असुरक्षित ड्राइवर स्थापित हो जाता है, तो TCESB हर दो सेकंड में वर्तमान निर्देशिका में एक विशिष्ट नाम वाली पेलोड फ़ाइल की लगातार जाँच करता है। यदि पेलोड शुरू में मौजूद नहीं है, तो TCESB तब तक प्रतीक्षा करता है जब तक वह दिखाई न दे। AES-128 का उपयोग करके एन्क्रिप्ट किए गए पेलोड को फिर डिकोड किया जाता है और निष्पादित किया जाता है।

पता लगाने और रोकथाम के उपाय

• ऐसे खतरों का मुकाबला करने के लिए सुरक्षा टीमों को चाहिए:
• ड्राइवर स्थापना घटनाओं की निगरानी करें, विशेष रूप से उन घटनाओं की जिनमें कमजोर ड्राइवर शामिल हों।
• संदिग्ध कर्नेल डिबगिंग गतिविधि पर नजर रखें, विशेष रूप से उन प्रणालियों पर जहां कर्नेल डिबगिंग अपेक्षित नहीं है।
• सुनिश्चित करें कि सभी सुरक्षा सॉफ़्टवेयर अद्यतन हैं, जिनमें ज्ञात कमजोरियों के लिए पैच भी शामिल हैं।
• हमलावरों को ऐसी कमजोरियों का फायदा उठाने से रोकने के लिए प्रशासकीय विशेषाधिकारों को प्रतिबंधित करें।

चूंकि साइबर खतरों के स्रोत लगातार विकसित हो रहे हैं, इसलिए सतर्क रहना और सक्रिय सुरक्षा उपायों को लागू करना, टोडीकैट जैसे परिष्कृत हमलों से बचाव के लिए महत्वपूर्ण है।