Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Malware TCESB

Malware TCESB

Entro Mezo nel Minaccia persistente avanzata (APT), Malware
Traduci in:
Italiano

Un autore di minacce informatiche affiliato alla Cina, noto per i suoi attacchi informatici in tutta l'Asia, è stato osservato mentre sfruttava una vulnerabilità nel software di sicurezza ESET per diffondere un malware precedentemente non documentato, nome in codice TCESB. Questo malware, recentemente scoperto, è progettato per aggirare le misure di sicurezza ed eseguire payload senza essere rilevato.

ToddyCat: una minaccia persistente in Asia

ToddyCat, un gruppo che opera in modo avanzato, è attivo almeno da dicembre 2020 e prende di mira diverse entità in Asia. Recenti indagini sulle loro attività hanno rivelato l'utilizzo di diversi strumenti per mantenere un accesso persistente ai sistemi compromessi e raccogliere enormi quantità di dati da organizzazioni nella regione Asia-Pacifico.

Sfruttare il difetto: la tecnica del dirottamento DLL

I ricercatori di sicurezza che indagavano sugli incidenti correlati a ToddyCat all'inizio del 2024 hanno scoperto un file DLL sospetto, "version.dll", nella directory temporanea di diversi dispositivi compromessi. Questo file, identificato come TCESB, è stato distribuito utilizzando il DLL Search Order Hijacking, che consente agli aggressori di controllare l'esecuzione dei programmi sostituendo i file DLL legittimi.

L'attacco sfrutta una falla nel Command Line Scanner di ESET, che carica in modo non sicuro il file "version.dll". Invece di caricare la versione legittima dalle directory di sistema, controlla prima la directory corrente, offrendo agli aggressori l'opportunità di introdurre la propria DLL dannosa.

CVE-2024-11859: La vulnerabilità sfruttata

Questa vulnerabilità, identificata come CVE-2024-11859 (punteggio CVSS: 6,8), consentiva agli aggressori con privilegi di amministratore di eseguire codice non sicuro. Tuttavia, la falla in sé non concedeva privilegi elevati: gli aggressori necessitavano già dell'accesso amministrativo per sfruttarla. ESET ha corretto la vulnerabilità a gennaio 2025, rilasciando aggiornamenti per i suoi prodotti di sicurezza consumer, business e server su Windows.

EDRSandBlast come arma: come TCESB disabilita le protezioni di sicurezza

TCESB è una versione modificata dello strumento open source EDRSandBlast. Manipola le strutture del kernel per disabilitare meccanismi di sicurezza come le routine di notifica (callback), funzioni chiave che avvisano i driver di sistema di eventi critici come la creazione di processi o le modifiche al registro.

Per raggiungere questo obiettivo, TCESB utilizza la nota tecnica Bring Your Own Vulnerable Driver (BYOVD), installando un driver Dell vulnerabile (DBUtilDrv2.sys) tramite l'interfaccia di Gestione dispositivi. Questo driver è affetto da CVE-2021-36276, una vulnerabilità di escalation dei privilegi.

Driver Dell: un punto debole ricorrente

Non è la prima volta che i driver Dell vengono utilizzati impropriamente in attacchi informatici. Nel 2022, il gruppo Lazarus, legato alla Corea del Nord, ha sfruttato un'altra vulnerabilità dei driver Dell (CVE-2021-21551) per disabilitare i meccanismi di sicurezza. Gli aggressori continuano a sfruttare driver obsoleti o vulnerabili per aggirare le misure di sicurezza.

Strategia di esecuzione del TCESB

Una volta installato il driver vulnerabile, TCESB verifica costantemente ogni due secondi la presenza di un file payload con un nome specifico nella directory corrente. Se il payload non è inizialmente presente, TCESB attende che venga visualizzato. Il payload, crittografato con AES-128, viene quindi decodificato ed eseguito.

Misure di rilevamento e prevenzione

  • Per contrastare tali minacce, i team di sicurezza dovrebbero:
  • Monitorare gli eventi di installazione dei driver, in particolare quelli che coinvolgono driver vulnerabili.
  • Prestare attenzione alle attività sospette di debug del kernel, in particolare sui sistemi in cui non è previsto il debug del kernel.
  • Assicurarsi che tutti i software di sicurezza siano aggiornati, comprese le patch per le vulnerabilità note.
  • Limitare i privilegi di amministratore per impedire agli aggressori di sfruttare tali vulnerabilità.

Poiché gli autori delle minacce informatiche continuano a evolversi, restare vigili e implementare misure di sicurezza proattive è fondamentale per difendersi da attacchi sofisticati come quelli condotti da ToddyCat.

Tendenza

I più visti

Caricamento in corso...