TCESB ļaunprātīga programmatūra
Tika novērots, ka ar Ķīnu saistīts apdraudējums, kas pazīstams ar saviem kiberuzbrukumiem visā Āzijā, izmanto ESET drošības programmatūras ievainojamību, lai piegādātu iepriekš nedokumentētu ļaunprātīgu programmatūru ar koda nosaukumu TCESB. Šī jaunatklātā ļaunprogrammatūra ir izstrādāta, lai apietu drošības pasākumus un izpildītu lietderīgās slodzes neatklāti.
Satura rādītājs
ToddyCat: pastāvīgs drauds Āzijā
Uzlabota draudu grupa ToddyCat ir bijusi aktīva vismaz kopš 2020. gada decembra, un tā ir vērsta uz vairākām vienībām Āzijā. Nesenie viņu darbību pētījumi atklāja, ka viņi izmanto dažādus rīkus, lai uzturētu pastāvīgu piekļuvi apdraudētām sistēmām un savāktu milzīgu datu apjomu no organizācijām Āzijas un Klusā okeāna reģionā.
Trūkuma izmantošana: DLL nolaupīšanas tehnika
Drošības pētnieki, izmeklējot ar ToddyCat saistītus incidentus 2024. gada sākumā, vairāku apdraudētu ierīču pagaidu direktorijā atklāja aizdomīgu DLL failu “version.dll”. Šis fails, kas identificēts kā TCESB, tika izvietots, izmantojot DLL meklēšanas pasūtījuma nolaupīšanu, kas ļauj uzbrucējiem kontrolēt programmas izpildi, aizstājot likumīgos DLL failus.
Uzbrukums izmanto ESET komandrindas skenera trūkumu, kas nedroši ielādē failu “version.dll”. Tā vietā, lai ielādētu likumīgo versiju no sistēmas direktorijiem, tā vispirms pārbauda pašreizējo direktoriju, dodot uzbrucējiem iespēju ieviest savu ļaunprātīgo DLL.
CVE-2024-11859: izmantotā ievainojamība
Šī ievainojamība, kas izsekota kā CVE-2024-11859 (CVSS rezultāts: 6,8), ļāva uzbrucējiem ar administratora privilēģijām izpildīt nedrošu kodu. Tomēr pati kļūda nepiešķīra paaugstinātas privilēģijas — uzbrucējiem jau bija nepieciešama administratora piekļuve, lai to izmantotu. ESET 2025. gada janvārī aizlāpa ievainojamību, izdodot atjauninājumus saviem patērētāju, uzņēmumu un serveru drošības produktiem operētājsistēmā Windows.
EDRSandBlast ieroču izmantošana: kā TCESB atspējo drošības aizsardzību
TCESB ir atvērtā pirmkoda rīka EDRSandBlast modificēta versija. Tas manipulē ar kodola struktūrām, lai atspējotu drošības mehānismus, piemēram, paziņojumu rutīnas (atzvanīšanas), kas ir galvenās funkcijas, kas brīdina sistēmas draiverus par kritiskiem notikumiem, piemēram, procesa izveidi vai reģistra izmaiņām.
Lai to panāktu, TCESB izmanto labi zināmo Bring Your Own Vulnerable Driver (BYOVD) paņēmienu, instalējot neaizsargāto Dell draiveri (DBUtilDrv2.sys), izmantojot ierīču pārvaldnieka saskarni. Šo draiveri ietekmē CVE-2021-36276 — privilēģiju eskalācijas ievainojamība.
Dell draiveri: periodiska vājā saite
Šī nav pirmā reize, kad Dell draiveri tiek ļaunprātīgi izmantoti kiberuzbrukumos. 2022. gadā ar Ziemeļkoreju saistītā Lazarus Group izmantoja citu Dell draivera ievainojamību (CVE-2021-21551), lai atspējotu drošības mehānismus. Uzbrucēji turpina izmantot novecojušus vai neaizsargātus draiverus, lai apietu drošības pasākumus.
TCESB izpildes stratēģija
Kad ievainojamais draiveris ir instalēts, TCESB ik pēc divām sekundēm nepārtraukti pārbauda, vai pašreizējā direktorijā nav lietderīgās slodzes faila ar noteiktu nosaukumu. Ja lietderīgās slodzes sākotnēji nav, TCESB gaida, līdz tā parādās. Kravu, kas šifrēta, izmantojot AES-128, pēc tam atšifrē un izpilda.
Atklāšanas un profilakses pasākumi
- Lai novērstu šādus draudus, drošības komandām:
- Pārraugiet draiveru instalēšanas notikumus, īpaši tos, kas saistīti ar neaizsargātiem draiveriem.
- Pievērsiet uzmanību aizdomīgām kodola atkļūdošanas darbībām, īpaši sistēmās, kurās kodola atkļūdošana nav gaidāma.
- Pārliecinieties, vai ir atjaunināta visa drošības programmatūra, tostarp zināmo ievainojamību ielāpi.
- Ierobežojiet administratora privilēģijas, lai neļautu uzbrucējiem izmantot šādas ievainojamības.
Tā kā kiberdraudu dalībnieki turpina attīstīties, modrība un proaktīvu drošības pasākumu īstenošana ir ļoti svarīga, lai aizsargātos pret sarežģītiem uzbrukumiem, piemēram, ToddyCat veiktajiem uzbrukumiem.
