Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) TCESB Malware

TCESB Malware

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:
Magyar

Egy kínai kötődésű, Ázsia-szerte végrehajtott kibertámadásairól ismert fenyegetést figyeltek meg, aki az ESET biztonsági szoftverében található sebezhetőséget kihasználva egy korábban nem dokumentált, TCESB kódnevű rosszindulatú programot szállított ki. Ezt az újonnan felfedezett kártevőt úgy tervezték, hogy megkerülje a biztonsági intézkedéseket, és észrevétlenül hajtsa végre a hasznos terheket.

ToddyCat: Állandó fenyegetés Ázsiában

A ToddyCat, egy fejlett fenyegetettségi csoport legalább 2020 decembere óta aktív, és több ázsiai entitást céloz meg. A tevékenységükkel kapcsolatos közelmúltbeli vizsgálatok feltárták, hogy különféle eszközöket használnak a feltört rendszerekhez való folyamatos hozzáférés biztosítására, és hatalmas mennyiségű adatot gyűjtenek az ázsiai-csendes-óceáni térség szervezeteitől.

A hiba kihasználása: A DLL-eltérítési technika

A 2024 elején a ToddyCattal kapcsolatos incidenseket vizsgáló biztonsági kutatók egy gyanús DLL-fájlt, a „version.dll”-t fedeztek fel több feltört eszköz ideiglenes könyvtárában. Ezt a TCESB-ként azonosított fájlt a DLL Search Order Hijacking segítségével telepítették, amely lehetővé teszi a támadók számára, hogy a törvényes DLL-fájlok lecserélésével szabályozzák a programvégrehajtást.

A támadás az ESET Command Line Scanner hibáját használja fel, amely nem biztonságosan tölti be a „version.dll” fájlt. Ahelyett, hogy a rendszerkönyvtárakból töltené be a legális verziót, először az aktuális könyvtárat ellenőrzi, lehetőséget adva a támadóknak saját rosszindulatú DLL-ek bevezetésére.

CVE-2024-11859: A kihasznált biztonsági rés

Ez a CVE-2024-11859 (CVSS-pontszám: 6,8) jelzésű biztonsági rés lehetővé tette a rendszergazdai jogosultságokkal rendelkező támadók számára, hogy nem biztonságos kódot hajtsanak végre. Maga a hiba azonban nem biztosított magasabb jogosultságokat – a támadóknak már rendszergazdai hozzáférésre volt szükségük a kihasználáshoz. Az ESET 2025 januárjában javította a biztonsági rést, és frissítéseket adott ki Windows rendszeren futó fogyasztói, üzleti és szerverbiztonsági termékeihez.

Az EDRSandBlast fegyverezése: Hogyan tiltja le a TCESB a biztonsági védelmet

A TCESB az EDRSandBlast nyílt forráskódú eszköz módosított változata. Manipulálja a kernelstruktúrákat, hogy letiltson olyan biztonsági mechanizmusokat, mint például az értesítési rutinok (visszahívások), amelyek olyan kulcsfontosságú funkciók, amelyek figyelmeztetik a rendszermeghajtókat olyan kritikus eseményekre, mint a folyamatok létrehozása vagy a rendszerleíró adatbázis módosításai.

Ennek elérése érdekében a TCESB egy jól ismert Bring Your Own Vulnerable Driver (BYOVD) technikát alkalmaz, amely egy sebezhető Dell illesztőprogramot (DBUtilDrv2.sys) telepít az Eszközkezelő felületen keresztül. Ezt az illesztőprogramot a CVE-2021-36276, a jogosultság-kiterjesztési biztonsági rés érinti.

Dell Drivers: Egy visszatérő gyenge láncszem

Nem ez az első eset, hogy a Dell-illesztőprogramokat kibertámadások során visszaélnek. 2022-ben az Észak-Koreához köthető Lazarus Group egy másik Dell-illesztőprogram-sebezhetőséget (CVE-2021-21551) használt ki a biztonsági mechanizmusok letiltására. A támadók továbbra is használnak elavult vagy sebezhető illesztőprogramokat a biztonsági intézkedések megkerülésére.

A TCESB végrehajtási stratégiája

A sérülékeny illesztőprogram telepítése után a TCESB két másodpercenként folyamatosan ellenőrzi, hogy az aktuális könyvtárban található-e egy adott nevű hasznos fájl. Ha a hasznos adat kezdetben nincs jelen, a TCESB megvárja, amíg megjelenik. Az AES-128 segítségével titkosított hasznos adatot ezután dekódolják és végrehajtják.

Felismerési és megelőzési intézkedések

  • Az ilyen fenyegetések leküzdése érdekében a biztonsági csapatoknak:
  • Figyelje meg az illesztőprogram-telepítési eseményeket, különösen a sebezhető illesztőprogramokat érintő eseményeket.
  • Figyelje a gyanús kernel hibakeresési tevékenységet, különösen azokon a rendszereken, ahol nem várható kernel hibakeresés.
  • Győződjön meg arról, hogy az összes biztonsági szoftver frissítve van, beleértve az ismert biztonsági rések javításait is.
  • Korlátozza a rendszergazdai jogosultságokat, hogy megakadályozza a támadókat az ilyen biztonsági rések kihasználásában.

Ahogy a kiberfenyegetés szereplői folyamatosan fejlődnek, az éberség és a proaktív biztonsági intézkedések végrehajtása kulcsfontosságú az olyan kifinomult támadások elleni védekezésben, mint a ToddyCat.

Felkapott

VoxFlowG USDT Airdrop e-mail átverés

Adathalászat, Spam
A kriptovaluta térnyerésével a csalók egyre megtévesztőbb taktikákat dolgoztak ki, hogy rávegyék a felhasználókat arra, hogy eladják digitális eszközeiket. Az egyik ilyen csaló séma a VoxFlowG USDT Airdrop e-mail átverés, amely gyanútlan személyeket zsákmányol azzal, hogy ingyenes tethert (USDT) ígér. Ez a taktika arra szolgál, hogy pénzt gyűjtsön az áldozatok kriptovaluta pénztárcájából. A...

Legnézettebb

Betöltés...