TCESB मालवेयर

एशियाभरि साइबर-हमलाहरूका लागि परिचित एक चिनियाँ सम्बद्ध खतरा अभिनेताले ESET सुरक्षा सफ्टवेयरमा रहेको जोखिमको शोषण गर्दै पहिले कागजात नगरिएको मालवेयर, कोडनेम TCESB डेलिभर गरेको देखिएको छ। यो भर्खरै पत्ता लागेको मालवेयर सुरक्षा उपायहरू बाइपास गर्न र पत्ता नलागेको पेलोडहरू कार्यान्वयन गर्न डिजाइन गरिएको हो।

टोडीक्याट: एसियामा निरन्तर खतरा

टोडीक्याट, एक उन्नत खतरा समूह, कम्तिमा डिसेम्बर २०२० देखि सक्रिय छ, जसले एशियाका धेरै संस्थाहरूलाई लक्षित गरेको छ। तिनीहरूको गतिविधिहरूमा हालैका अनुसन्धानहरूले सम्झौता गरिएका प्रणालीहरूमा निरन्तर पहुँच कायम राख्न र एशिया-प्रशान्त क्षेत्रका संस्थाहरूबाट ठूलो मात्रामा डेटा सङ्कलन गर्न विभिन्न उपकरणहरूको प्रयोग गरेको खुलासा गरेको छ।

कमजोरीको शोषण: DLL अपहरण प्रविधि

२०२४ को सुरुमा ToddyCat-सम्बन्धित घटनाहरूको अनुसन्धान गर्ने सुरक्षा अनुसन्धानकर्ताहरूले धेरै सम्झौता गरिएका उपकरणहरूको अस्थायी निर्देशिकामा 'version.dll' नामक शंकास्पद DLL फाइल फेला पारे। TCESB को रूपमा पहिचान गरिएको यो फाइल DLL खोज अर्डर अपहरण प्रयोग गरेर तैनाथ गरिएको थियो, जसले आक्रमणकारीहरूलाई वैध DLL फाइलहरू प्रतिस्थापन गरेर कार्यक्रम कार्यान्वयन नियन्त्रण गर्न अनुमति दिन्छ।

यो आक्रमणले ESET को कमाण्ड लाइन स्क्यानरमा रहेको त्रुटिलाई प्रयोग गर्छ, जसले 'version.dll' फाइललाई असुरक्षित रूपमा लोड गर्छ। प्रणाली निर्देशिकाहरूबाट वैध संस्करण लोड गर्नुको सट्टा, यसले पहिले हालको निर्देशिका जाँच गर्छ, जसले आक्रमणकारीहरूलाई आफ्नै दुर्भावनापूर्ण DLL परिचय गराउने अवसर दिन्छ।

CVE-2024-11859: शोषित जोखिम

CVE-2024-11859 (CVSS स्कोर: 6.8) को रूपमा ट्र्याक गरिएको यो जोखिमले प्रशासक विशेषाधिकार भएका आक्रमणकारीहरूलाई असुरक्षित कोड कार्यान्वयन गर्न सक्षम बनायो। यद्यपि, त्रुटिले आफैंमा उच्च विशेषाधिकार प्रदान गरेन - आक्रमणकारीहरूलाई यसको शोषण गर्न पहिले नै प्रशासक पहुँच आवश्यक थियो। ESET ले जनवरी २०२५ मा जोखिमलाई प्याच गर्‍यो, विन्डोजमा यसको उपभोक्ता, व्यवसाय र सर्भर सुरक्षा उत्पादनहरूको लागि अद्यावधिकहरू जारी गर्दै।

EDRSandBlast लाई हतियार बनाउने: TCESB ले सुरक्षा सुरक्षाहरूलाई कसरी असक्षम पार्छ

TCESB खुला-स्रोत उपकरण EDRSandBlast को परिमार्जित संस्करण हो। यसले सूचना दिनचर्या (कलब्याक) जस्ता सुरक्षा संयन्त्रहरूलाई असक्षम पार्न कर्नेल संरचनाहरूलाई हेरफेर गर्दछ, जुन प्रक्रिया सिर्जना वा रजिस्ट्री परिवर्तनहरू जस्ता महत्वपूर्ण घटनाहरूको बारेमा प्रणाली चालकहरूलाई सचेत गराउने प्रमुख कार्यहरू हुन्।

यो प्राप्त गर्न, TCESB ले एक प्रसिद्ध ब्रिङ योर ओन भल्नरबल ड्राइभर (BYOVD) प्रविधि प्रयोग गर्दछ, जसले डिभाइस म्यानेजर इन्टरफेस मार्फत कमजोर डेल ड्राइभर (DBUtilDrv2.sys) स्थापना गर्दछ। यो ड्राइभर CVE-2021-36276 बाट प्रभावित छ, जुन एक विशेषाधिकार वृद्धि जोखिम हो।

डेल ड्राइभरहरू: एक आवर्ती कमजोर लिङ्क

साइबर आक्रमणमा डेल चालकहरू दुर्व्यवहार गरिएको यो पहिलो पटक होइन। २०२२ मा, उत्तर कोरियासँग सम्बन्धित लाजरस समूहले सुरक्षा संयन्त्रहरूलाई असक्षम पार्न अर्को डेल चालक जोखिम (CVE-२०२१-२१५५१) को शोषण गर्‍यो। आक्रमणकारीहरूले सुरक्षा उपायहरू बाइपास गर्न पुराना वा कमजोर चालकहरूको फाइदा उठाउन जारी राखेका छन्।

TCESB को कार्यान्वयन रणनीति

एक पटक कमजोर ड्राइभर स्थापना भएपछि, TCESB ले हालको डाइरेक्टरीमा विशिष्ट नाम भएको पेलोड फाइलको लागि प्रत्येक दुई सेकेन्डमा निरन्तर जाँच गर्दछ। यदि पेलोड सुरुमा उपस्थित छैन भने, TCESB यो देखा नपरेसम्म पर्खन्छ। AES-128 प्रयोग गरेर इन्क्रिप्ट गरिएको पेलोड, त्यसपछि डिकोड र कार्यान्वयन गरिन्छ।

पत्ता लगाउने र रोकथामका उपायहरू

• यस्ता खतराहरूको सामना गर्न, सुरक्षा टोलीहरूले:
• चालक स्थापना घटनाहरूको निगरानी गर्नुहोस्, विशेष गरी कमजोर चालकहरू समावेश गर्ने।
• शंकास्पद कर्नेल डिबगिङ गतिविधिको लागि हेर्नुहोस्, विशेष गरी ती प्रणालीहरूमा जहाँ कर्नेल डिबगिङ अपेक्षित हुँदैन।
• ज्ञात कमजोरीहरूको लागि प्याचहरू सहित सबै सुरक्षा सफ्टवेयर अद्यावधिक गरिएको सुनिश्चित गर्नुहोस्।
• आक्रमणकारीहरूलाई यस्ता कमजोरीहरूको शोषण गर्नबाट रोक्न प्रशासक विशेषाधिकारहरू प्रतिबन्धित गर्नुहोस्।

साइबर खतराका कारकहरू विकसित हुँदै जाँदा, टोडीक्याटद्वारा गरिएका जस्ता परिष्कृत आक्रमणहरूबाट बचाउन सतर्क रहनु र सक्रिय सुरक्षा उपायहरू लागू गर्नु महत्त्वपूर्ण छ।