Zlonamjerni softver TCESB
Prijetnja povezana s Kinom, poznata po svojim kibernetičkim napadima diljem Azije, primijećena je kako iskorištava ranjivost u sigurnosnom softveru ESET-a za isporuku prethodno nedokumentiranog zlonamjernog softvera kodnog naziva TCESB. Ovaj novootkriveni zlonamjerni softver dizajniran je za zaobilaženje sigurnosnih mjera i neotkriveno izvršavanje korisnih sadržaja.
Sadržaj
ToddyCat: Stalna prijetnja u Aziji
ToddyCat, napredna skupina za prijetnje, aktivna je najmanje od prosinca 2020., ciljajući na više entiteta u Aziji. Nedavne istrage njihovih aktivnosti otkrile su njihovu upotrebu raznih alata za održavanje stalnog pristupa kompromitiranim sustavima i prikupljanje golemih količina podataka od organizacija u azijsko-pacifičkoj regiji.
Iskorištavanje greške: Tehnika otmice DLL-a
Sigurnosni istraživači koji su početkom 2024. istraživali incidente povezane s ToddyCatom otkrili su sumnjivu DLL datoteku, 'version.dll', u privremenom direktoriju više kompromitiranih uređaja. Ova datoteka, identificirana kao TCESB, postavljena je pomoću DLL Search Order Hijacking, koja napadačima omogućuje kontrolu izvršavanja programa zamjenom legitimnih DLL datoteka.
Napad koristi grešku u ESET-ovom skeneru naredbenog retka, koji nesigurno učitava datoteku 'version.dll'. Umjesto učitavanja legitimne verzije iz sistemskih direktorija, prvo provjerava trenutni direktorij, dajući napadačima priliku da uvedu vlastiti zlonamjerni DLL.
CVE-2024-11859: Iskorištena ranjivost
Ova ranjivost praćena kao CVE-2024-11859 (CVSS ocjena: 6,8) omogućila je napadačima s administratorskim ovlastima da izvrše nesigurni kod. Međutim, sama greška nije dodijelila povišene privilegije - napadačima je već bio potreban administratorski pristup da je iskoriste. ESET je zakrpao ranjivost u siječnju 2025., izdajući ažuriranja za svoje potrošačke, poslovne i poslužiteljske sigurnosne proizvode na Windowsima.
Weaponizing EDRSandBlast: Kako TCESB onemogućuje sigurnosnu zaštitu
TCESB je modificirana verzija alata otvorenog koda EDRSandBlast. Manipulira strukturama kernela kako bi onemogućio sigurnosne mehanizme kao što su rutine obavijesti (povratni pozivi), što su ključne funkcije koje upozoravaju upravljačke programe sustava o kritičnim događajima poput stvaranja procesa ili promjena registra.
Kako bi to postigao, TCESB koristi dobro poznatu tehniku Donesite vlastiti ranjivi upravljački program (BYOVD), instalirajući ranjivi Dell upravljački program (DBUtilDrv2.sys) putem sučelja upravitelja uređaja. Na ovaj upravljački program utječe CVE-2021-36276, ranjivost eskalacije privilegija.
Dell upravljački programi: ponavljajuća slaba karika
Ovo nije prvi put da su Dell vozači zlostavljani u kibernetičkim napadima. Godine 2022. Lazarus Group povezana sa Sjevernom Korejom iskoristila je još jednu ranjivost upravljačkog programa Dell (CVE-2021-21551) kako bi onemogućila sigurnosne mehanizme. Napadači nastavljaju koristiti zastarjele ili ranjive upravljačke programe kako bi zaobišli sigurnosne mjere.
TCESB-ova strategija izvršenja
Nakon što se ranjivi upravljački program instalira, TCESB kontinuirano provjerava svake dvije sekunde za korisničku datoteku s određenim nazivom u trenutnom direktoriju. Ako korisni teret u početku nije prisutan, TCESB čeka dok se ne pojavi. Korisni teret, šifriran korištenjem AES-128, zatim se dekodira i izvršava.
Mjere otkrivanja i prevencije
- Kako bi se suprotstavili takvim prijetnjama, sigurnosni timovi trebali bi:
- Pratite događaje instalacije upravljačkog programa, posebno one koji uključuju ranjive upravljačke programe.
- Pazite na sumnjivu aktivnost otklanjanja pogrešaka jezgre, osobito na sustavima gdje se ne očekuje otklanjanje pogrešaka jezgre.
- Provjerite je li sav sigurnosni softver ažuriran, uključujući zakrpe za poznate ranjivosti.
- Ograničite administratorske ovlasti kako biste spriječili napadače da iskoriste takve ranjivosti.
Kako akteri cyber prijetnji nastavljaju evoluirati, ostati na oprezu i implementirati proaktivne sigurnosne mjere ključni su u obrani od sofisticiranih napada poput onih koje provodi ToddyCat.
