TCESB kenkėjiška programa
Buvo pastebėta, kad su Kinija susijęs grėsmės veikėjas, žinomas dėl kibernetinių atakų visoje Azijoje, pasinaudojo ESET saugos programinės įrangos pažeidžiamumu, kad pristatytų anksčiau nedokumentuotą kenkėjišką programą, kodiniu pavadinimu TCESB. Ši naujai aptikta kenkėjiška programa skirta apeiti saugos priemones ir neaptiktai vykdyti naudingus krovinius.
Turinys
ToddyCat: nuolatinė grėsmė Azijoje
Pažangi grėsmių grupė „ToddyCat“ veikia mažiausiai nuo 2020 m. gruodžio mėn., taikydamasi į daugelį subjektų Azijoje. Neseniai atlikti jų veiklos tyrimai atskleidė, kad jie naudoja įvairias priemones, kad išlaikytų nuolatinę prieigą prie pažeistų sistemų ir renka didžiulį duomenų kiekį iš Azijos ir Ramiojo vandenyno regiono organizacijų.
Trūkumas: DLL užgrobimo technika
Saugumo tyrinėtojai, tyrę su „ToddyCat“ susijusius incidentus 2024 m. pradžioje, kelių pažeistų įrenginių laikinajame kataloge aptiko įtartiną DLL failą „version.dll“. Šis failas, identifikuotas kaip TCESB, buvo įdiegtas naudojant DLL paieškos užsakymo užgrobimą, kuris leidžia užpuolikams kontroliuoti programos vykdymą pakeičiant teisėtus DLL failus.
Ataka panaudoja ESET komandų eilutės skaitytuvo trūkumą, nesaugiai įkeliantį failą „version.dll“. Vietoj to, kad būtų įkelta teisėta versija iš sistemos katalogų, ji pirmiausia patikrina dabartinį katalogą, suteikdama užpuolikams galimybę pristatyti savo kenkėjišką DLL.
CVE-2024-11859: išnaudojamas pažeidžiamumas
Šis pažeidžiamumas, stebimas kaip CVE-2024-11859 (CVSS balas: 6,8), leido užpuolikams, turintiems administratoriaus teises, vykdyti nesaugų kodą. Tačiau pati klaida nesuteikė didesnių privilegijų – užpuolikams jau reikėjo administratoriaus prieigos, kad galėtų ja pasinaudoti. ESET pataisė pažeidžiamumą 2025 m. sausio mėn., išleisdama savo vartotojų, verslo ir serverių saugos produktų naujinimus sistemoje Windows.
Ginklavimas EDRSandBlast: kaip TCESB išjungia saugos apsaugą
TCESB yra modifikuota atvirojo kodo įrankio EDRSandBlast versija. Jis manipuliuoja branduolio struktūromis, kad išjungtų saugos mechanizmus, pvz., pranešimų procedūras (atgalinius skambučius), kurios yra pagrindinės funkcijos, įspėjančios sistemos tvarkykles apie svarbius įvykius, pvz., proceso kūrimą ar registro pakeitimus.
Kad tai pasiektų, TCESB naudoja gerai žinomą „Bring Your Own Vulnerable Driver“ (BYOVD) techniką, įdiegdama pažeidžiamą „Dell“ tvarkyklę (DBUtilDrv2.sys) per įrenginių tvarkyklės sąsają. Šią tvarkyklę paveikė CVE-2021-36276, privilegijų padidinimo pažeidžiamumas.
Dell tvarkyklės: pasikartojanti silpnoji grandis
Tai ne pirmas kartas, kai „Dell“ vairuotojai buvo piktnaudžiaujami kibernetinių atakų metu. 2022 m. su Šiaurės Korėja susijusi „Lazarus Group“ išnaudojo kitą „Dell“ tvarkyklės pažeidžiamumą (CVE-2021-21551), kad išjungtų saugos mechanizmus. Užpuolikai ir toliau naudoja pasenusius ar pažeidžiamus vairuotojus, kad apeitų saugumo priemones.
TCESB vykdymo strategija
Įdiegus pažeidžiamą tvarkyklę, TCESB nuolat kas dvi sekundes tikrina, ar dabartiniame kataloge nėra naudingojo krovinio failo konkrečiu pavadinimu. Jei iš pradžių naudingojo krovinio nėra, TCESB laukia, kol jis pasirodys. Naudingasis krovinys, užšifruotas naudojant AES-128, tada iššifruojamas ir vykdomas.
Aptikimo ir prevencijos priemonės
- Siekdamos atremti tokias grėsmes, apsaugos komandos turėtų:
- Stebėkite tvarkyklių diegimo įvykius, ypač tuos, kurie susiję su pažeidžiamomis tvarkyklėmis.
- Stebėkite įtartiną branduolio derinimo veiklą, ypač sistemose, kuriose branduolio derinimo nesitikima.
- Įsitikinkite, kad atnaujinta visa saugos programinė įranga, įskaitant žinomų spragų pataisas.
- Apribokite administratoriaus teises, kad užpuolikai negalėtų išnaudoti tokių pažeidžiamumų.
Kadangi kibernetinės grėsmės veikėjai ir toliau vystosi, išlikti budriems ir įgyvendinti aktyvias saugumo priemones yra labai svarbu apsisaugoti nuo sudėtingų atakų, tokių kaip ToddyCat.
