TCESB skadelig programvare

En kinesisk-tilknyttet trusselaktør kjent for sine cyberangrep over hele Asia har blitt observert utnytte en sårbarhet i ESETs sikkerhetsprogramvare for å levere en tidligere udokumentert skadelig programvare, kodenavnet TCESB. Denne nyoppdagede skadevare er designet for å omgå sikkerhetstiltak og utføre nyttelaster uoppdaget.

ToddyCat: En vedvarende trussel i Asia

ToddyCat, en avansert trusselgruppe, har vært aktiv siden minst desember 2020, rettet mot flere enheter i Asia. Nylige undersøkelser av deres aktiviteter avslørte deres bruk av ulike verktøy for å opprettholde vedvarende tilgang til kompromitterte systemer og samle inn enorme mengder data fra organisasjoner i Asia-Stillehavsregionen.

Utnyttelse av feilen: DLL-kapringsteknikken

Sikkerhetsforskere som undersøkte ToddyCat-relaterte hendelser tidlig i 2024, oppdaget en mistenkelig DLL-fil, 'version.dll', i temp-katalogen til flere kompromitterte enheter. Denne filen, identifisert som TCESB, ble distribuert ved hjelp av DLL Search Order Hijacking, som lar angripere kontrollere programkjøringen ved å erstatte legitime DLL-filer.

Angrepet utnytter en feil i ESETs kommandolinjeskanner, som laster "version.dll"-filen på en usikker måte. I stedet for å laste den legitime versjonen fra systemkataloger, sjekker den først gjeldende katalog, og gir angripere en mulighet til å introdusere sin egen ondsinnede DLL.

CVE-2024-11859: The Exploited Vulnerability

Dette sikkerhetsproblemet spores som CVE-2024-11859 (CVSS-score: 6,8), gjorde det mulig for angripere med administratorrettigheter å kjøre usikker kode. Imidlertid ga ikke feilen i seg selv forhøyede privilegier - angripere trengte allerede administratortilgang for å utnytte den. ESET lappet sikkerhetsproblemet i januar 2025, og ga oppdateringer for sine forbruker-, forretnings- og serversikkerhetsprodukter på Windows.

Weaponizing EDRSandBlast: Hvordan TCESB deaktiverer sikkerhetsbeskyttelse

TCESB er en modifisert versjon av åpen kildekode-verktøyet EDRSandBlast. Den manipulerer kjernestrukturer for å deaktivere sikkerhetsmekanismer som varslingsrutiner (tilbakeringing), som er nøkkelfunksjoner som varsler systemdrivere om kritiske hendelser som prosessoppretting eller registerendringer.

For å oppnå dette bruker TCESB en velkjent Bring Your Own Vulnerable Driver (BYOVD)-teknikk, og installerer en sårbar Dell-driver (DBUtilDrv2.sys) via Device Manager-grensesnittet. Denne driveren er påvirket av CVE-2021-36276, et sikkerhetsproblem med rettighetseskalering.

Dell-drivere: En tilbakevendende svak lenke

Dette er ikke første gang Dell-sjåfører blir misbrukt i cyberangrep. I 2022 utnyttet den Nord-Korea-tilknyttede Lazarus Group en annen Dell-driversårbarhet (CVE-2021-21551) for å deaktivere sikkerhetsmekanismer. Angripere fortsetter å utnytte utdaterte eller sårbare drivere for å omgå sikkerhetstiltak.

TCESBs utførelsesstrategi

Når den sårbare driveren er installert, sjekker TCESB kontinuerlig hvert annet sekund for en nyttelastfil med et spesifikt navn i gjeldende katalog. Hvis nyttelasten ikke er tilstede i utgangspunktet, venter TCESB til den vises. Nyttelasten, kryptert med AES-128, blir deretter dekodet og utført.

Deteksjon og forebyggingstiltak

• For å motvirke slike trusler bør sikkerhetsteamene:
• Overvåk for driverinstallasjonshendelser, spesielt de som involverer sårbare sjåfører.
• Se etter mistenkelig kjernefeilsøkingsaktivitet, spesielt på systemer der kjernefeilsøking ikke er forventet.
• Sørg for at all sikkerhetsprogramvare er oppdatert, inkludert oppdateringer for kjente sårbarheter.
• Begrens administratorrettigheter for å hindre angripere i å utnytte slike sårbarheter.

Ettersom aktører på nettrussel fortsetter å utvikle seg, er det avgjørende å være på vakt og implementere proaktive sikkerhetstiltak for å forsvare seg mot sofistikerte angrep som de utført av ToddyCat.