មេរោគ TCESB

តួអង្គគំរាមកំហែងដែលមានទំនាក់ទំនងនឹងចិនដែលត្រូវបានគេស្គាល់ថាសម្រាប់ការវាយប្រហារតាមអ៊ីនធឺណិតរបស់ខ្លួននៅទូទាំងអាស៊ីត្រូវបានគេសង្កេតឃើញបានកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីសុវត្ថិភាព ESET ដើម្បីចែកចាយមេរោគដែលមិនមានឯកសារពីមុនដែលមានឈ្មោះកូដ TCESB ។ មេរោគ​ដែល​ទើប​រក​ឃើញ​ថ្មី​នេះ​ត្រូវ​បាន​រចនា​ឡើង​ដើម្បី​រំលង​វិធានការ​សុវត្ថិភាព និង​ប្រតិបត្តិ​ការ​ផ្ទុក​ដែល​មិន​អាច​រក​ឃើញ។

ToddyCat៖ ការគំរាមកំហែងជាប់លាប់នៅអាស៊ី

ToddyCat ដែលជាក្រុមគម្រាមកំហែងកម្រិតខ្ពស់បានធ្វើសកម្មភាពតាំងពីខែធ្នូ ឆ្នាំ 2020 មកម្ល៉េះ ដោយផ្តោតលើអង្គភាពជាច្រើននៅអាស៊ី។ ការស៊ើបអង្កេតថ្មីៗលើសកម្មភាពរបស់ពួកគេបានបង្ហាញឱ្យឃើញពីការប្រើប្រាស់ឧបករណ៍ផ្សេងៗរបស់ពួកគេ ដើម្បីរក្សាការចូលប្រើប្រាស់ជាប្រចាំទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល និងប្រមូលទិន្នន័យយ៉ាងច្រើនពីអង្គការនានានៅក្នុងតំបន់អាស៊ីប៉ាស៊ីហ្វិក។

ការកេងប្រវ័ញ្ចកំហុស៖ បច្ចេកទេសលួច DLL

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខដែលស៊ើបអង្កេតឧប្បត្តិហេតុដែលទាក់ទងនឹង ToddyCat នៅដើមឆ្នាំ 2024 បានរកឃើញឯកសារ DLL គួរឱ្យសង្ស័យ 'version.dll' នៅក្នុងថត temp នៃឧបករណ៍សម្របសម្រួលជាច្រើន។ ឯកសារនេះត្រូវបានកំណត់ថាជា TCESB ត្រូវបានដាក់ពង្រាយដោយប្រើ DLL Search Order Hijacking ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងការប្រតិបត្តិកម្មវិធីដោយជំនួសឯកសារ DLL ស្របច្បាប់។

ការវាយប្រហារនេះបានប្រើប្រាស់គុណវិបត្តិមួយនៅក្នុង Command Line Scanner របស់ ESET ដែលផ្ទុកឯកសារ 'version.dll' ដោយមិនមានសុវត្ថិភាព។ ជំនួសឱ្យការផ្ទុកកំណែស្របច្បាប់ពីថតប្រព័ន្ធ ជាដំបូងវាពិនិត្យថតបច្ចុប្បន្ន ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវឱកាសដើម្បីណែនាំ DLL ព្យាបាទផ្ទាល់ខ្លួនរបស់ពួកគេ។

CVE-2024-11859៖ ភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ច

ភាពងាយរងគ្រោះនេះត្រូវបានតាមដានជា CVE-2024-11859 (ពិន្ទុ CVSS: 6.8) បានបើកឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធិជាអ្នកគ្រប់គ្រងដើម្បីប្រតិបត្តិកូដដែលមិនមានសុវត្ថិភាព។ ទោះជាយ៉ាងណាក៏ដោយ កំហុសខ្លួនវាមិនបានផ្តល់សិទ្ធិខ្ពស់ទេ ពោលគឺអ្នកវាយប្រហារត្រូវការសិទ្ធិចូលប្រើអ្នកគ្រប់គ្រងរួចហើយ ដើម្បីកេងចំណេញវា។ ESET បានជួសជុលភាពងាយរងគ្រោះនៅក្នុងខែមករា ឆ្នាំ 2025 ដោយបានចេញការអាប់ដេតសម្រាប់អ្នកប្រើប្រាស់ អាជីវកម្ម និងផលិតផលសុវត្ថិភាពម៉ាស៊ីនមេរបស់ខ្លួននៅលើ Windows ។

អាវុធ EDRSandBlast៖ របៀបដែល TCESB បិទការការពារសុវត្ថិភាព

TCESB គឺជាកំណែដែលបានកែប្រែនៃឧបករណ៍ប្រភពបើកចំហ EDRSandBlast ។ វារៀបចំរចនាសម្ព័ន្ធខឺណែលដើម្បីបិទយន្តការសុវត្ថិភាពដូចជា ទម្លាប់ការជូនដំណឹង (ការហៅត្រឡប់មកវិញ) ដែលជាមុខងារសំខាន់ដែលជូនដំណឹងដល់អ្នកបើកបរប្រព័ន្ធអំពីព្រឹត្តិការណ៍សំខាន់ៗដូចជាការបង្កើតដំណើរការ ឬការផ្លាស់ប្តូរបញ្ជីឈ្មោះជាដើម។

ដើម្បីសម្រេចបាននូវចំណុចនេះ TCESB ប្រើប្រាស់បច្ចេកទេស Bring Your Own Vulnerable Driver (BYOVD) ដ៏ល្បីល្បាញ ដោយដំឡើងកម្មវិធីបញ្ជា Dell ដែលងាយរងគ្រោះ (DBUtilDrv2.sys) តាមរយៈចំណុចប្រទាក់កម្មវិធីគ្រប់គ្រងឧបករណ៍។ កម្មវិធីបញ្ជានេះត្រូវបានប៉ះពាល់ដោយ CVE-2021-36276 ដែលជាភាពងាយរងគ្រោះនៃការកើនឡើងឯកសិទ្ធិ។

កម្មវិធីបញ្ជា Dell៖ តំណខ្សោយដែលកើតឡើងដដែលៗ

នេះមិនមែនជាលើកទីមួយទេ ដែលអ្នកបើកបរ Dell ត្រូវបានបំពានក្នុងការវាយប្រហារតាមអ៊ីនធឺណិត។ នៅឆ្នាំ 2022 ក្រុមហ៊ុន Lazarus Group ដែលភ្ជាប់ជាមួយកូរ៉េខាងជើងបានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់អ្នកបើកបរ Dell (CVE-2021-21551) ដើម្បីបិទយន្តការសុវត្ថិភាព។ អ្នកវាយប្រហារបន្តប្រើអ្នកបើកបរហួសសម័យ ឬងាយរងគ្រោះ ដើម្បីគេចពីវិធានការសន្តិសុខ។

យុទ្ធសាស្ត្រប្រតិបត្តិរបស់ TCESB

នៅពេលដែលកម្មវិធីបញ្ជាដែលងាយរងគ្រោះត្រូវបានដំឡើង TCESB បន្តត្រួតពិនិត្យរៀងរាល់ពីរវិនាទីម្តងសម្រាប់ឯកសារ payload ដែលមានឈ្មោះជាក់លាក់នៅក្នុងថតបច្ចុប្បន្ន។ ប្រសិនបើបន្ទុកដំបូងមិនមានវត្តមានទេ TCESB រង់ចាំរហូតដល់វាលេចឡើង។ បន្ទុកដែលបានអ៊ិនគ្រីបដោយប្រើ AES-128 បន្ទាប់មកត្រូវបានឌិកូដ និងប្រតិបត្តិ។

វិធានការបង្ការ និងទប់ស្កាត់

• ដើម្បីទប់ទល់នឹងការគំរាមកំហែងបែបនេះ ក្រុមសន្តិសុខគួរតែ៖
• តាមដានព្រឹត្តិការណ៍ដំឡើងកម្មវិធីបញ្ជា ជាពិសេសអ្នកដែលពាក់ព័ន្ធនឹងកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ។
• រកមើលសកម្មភាពកែកំហុសខឺណែលគួរឱ្យសង្ស័យ ជាពិសេសនៅលើប្រព័ន្ធដែលការបំបាត់កំហុសខឺណែលមិនត្រូវបានគេរំពឹងទុក។
• ត្រូវប្រាកដថាកម្មវិធីសុវត្ថិភាពទាំងអស់ត្រូវបានធ្វើបច្ចុប្បន្នភាព រួមទាំងបំណះសម្រាប់ភាពងាយរងគ្រោះដែលគេស្គាល់។
• ដាក់កម្រិតសិទ្ធិអ្នកគ្រប់គ្រង ដើម្បីការពារអ្នកវាយប្រហារពីការទាញយកភាពងាយរងគ្រោះបែបនេះ។

នៅពេលដែលតួអង្គគម្រាមកំហែងតាមអ៊ីនធឺណិតបន្តវិវឌ្ឍ ការរក្សាការប្រុងប្រយ័ត្ន និងការអនុវត្តវិធានការសុវត្ថិភាពសកម្មគឺមានសារៈសំខាន់ណាស់ក្នុងការការពារប្រឆាំងនឹងការវាយប្រហារដ៏ស្មុគ្រស្មាញដូចជាអ្វីដែលធ្វើឡើងដោយ ToddyCat ជាដើម។