Perisian Hasad TCESB
Seorang pelakon ancaman bersekutu China yang terkenal dengan serangan sibernya di seluruh Asia telah diperhatikan mengeksploitasi kelemahan dalam perisian keselamatan ESET untuk menghantar perisian hasad tanpa dokumen sebelum ini, yang diberi nama kod TCESB. Malware yang baru ditemui ini direka untuk memintas langkah keselamatan dan melaksanakan muatan tanpa dikesan.
Isi kandungan
ToddyCat: Ancaman Berterusan di Asia
ToddyCat, kumpulan ancaman lanjutan, telah aktif sejak sekurang-kurangnya Disember 2020, menyasarkan berbilang entiti di Asia. Siasatan terbaharu ke atas aktiviti mereka mendedahkan penggunaan pelbagai alatan mereka untuk mengekalkan akses berterusan kepada sistem yang terjejas dan mengumpul sejumlah besar data daripada organisasi di rantau Asia-Pasifik.
Memanfaatkan Cacat: Teknik Rampasan DLL
Penyelidik keselamatan yang menyiasat insiden berkaitan ToddyCat pada awal 2024 menemui fail DLL yang mencurigakan, 'version.dll,' dalam direktori temp berbilang peranti yang terjejas. Fail ini, yang dikenal pasti sebagai TCESB, telah digunakan menggunakan DLL Search Order Hijacking, yang membenarkan penyerang mengawal pelaksanaan program dengan menggantikan fail DLL yang sah.
Serangan itu memanfaatkan kecacatan dalam Pengimbas Baris Perintah ESET, yang memuatkan fail 'version.dll' secara tidak selamat. Daripada memuatkan versi yang sah daripada direktori sistem, ia mula-mula menyemak direktori semasa, memberikan penyerang peluang untuk memperkenalkan DLL berniat jahat mereka sendiri.
CVE-2024-11859: Kerentanan yang Dieksploitasi
Kerentanan ini dijejaki sebagai CVE-2024-11859 (skor CVSS: 6.8), membolehkan penyerang dengan keistimewaan pentadbir untuk melaksanakan kod yang tidak selamat. Walau bagaimanapun, kelemahan itu sendiri tidak memberikan keistimewaan yang tinggi—penyerang sudah memerlukan akses pentadbir untuk mengeksploitasinya. ESET menambal kelemahan pada Januari 2025, mengeluarkan kemas kini untuk produk keselamatan pengguna, perniagaan dan pelayannya pada Windows.
Weaponizing EDRSandBlast: Bagaimana TCESB Melumpuhkan Perlindungan Keselamatan
TCESB ialah versi diubah suai alat sumber terbuka EDRSandBlast. Ia memanipulasi struktur kernel untuk melumpuhkan mekanisme keselamatan seperti rutin pemberitahuan (panggilan balik), yang merupakan fungsi utama yang memberi amaran kepada pemacu sistem tentang peristiwa kritikal seperti penciptaan proses atau perubahan pendaftaran.
Untuk mencapai matlamat ini, TCESB menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) yang terkenal, memasang pemacu Dell yang terdedah (DBUtilDrv2.sys) melalui antara muka Pengurus Peranti. Pemandu ini terjejas oleh CVE-2021-36276, kelemahan peningkatan keistimewaan.
Pemacu Dell: Pautan Lemah Berulang
Ini bukan kali pertama pemandu Dell disalahgunakan dalam serangan siber. Pada tahun 2022, Kumpulan Lazarus yang berkaitan dengan Korea Utara mengeksploitasi satu lagi kelemahan pemandu Dell (CVE-2021-21551) untuk melumpuhkan mekanisme keselamatan. Penyerang terus memanfaatkan pemandu yang ketinggalan zaman atau terdedah untuk memintas langkah keselamatan.
Strategi Pelaksanaan TCESB
Setelah pemacu yang terdedah dipasang, TCESB sentiasa menyemak setiap dua saat untuk fail muatan dengan nama tertentu dalam direktori semasa. Jika muatan tidak hadir pada mulanya, TCESB menunggu sehingga ia muncul. Muatan, disulitkan menggunakan AES-128, kemudian dinyahkod dan dilaksanakan.
Langkah-langkah Pengesanan dan Pencegahan
- Untuk menentang ancaman tersebut, pasukan keselamatan hendaklah:
- Pantau acara pemasangan pemandu, terutamanya yang melibatkan pemandu yang terdedah.
- Perhatikan aktiviti penyahpepijatan kernel yang mencurigakan, terutamanya pada sistem di mana penyahpepijatan kernel tidak dijangka.
- Pastikan semua perisian keselamatan dikemas kini, termasuk tampalan untuk kelemahan yang diketahui.
- Hadkan keistimewaan pentadbir untuk menghalang penyerang daripada mengeksploitasi kelemahan tersebut.
Memandangkan pelaku ancaman siber terus berkembang, sentiasa berwaspada dan melaksanakan langkah keselamatan proaktif adalah penting dalam mempertahankan diri daripada serangan canggih seperti yang dilakukan oleh ToddyCat.
