Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) TCESB-malware

TCESB-malware

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:
Nederlands

Een Chinese cybercrimineel, bekend om zijn cyberaanvallen in Azië, is geobserveerd terwijl hij misbruik maakte van een kwetsbaarheid in de beveiligingssoftware van ESET om een tot nu toe ongedocumenteerde malware te verspreiden, codenaam TCESB. Deze nieuw ontdekte malware is ontworpen om beveiligingsmaatregelen te omzeilen en onopgemerkt payloads uit te voeren.

ToddyCat: een aanhoudende bedreiging in Azië

ToddyCat, een groep die zich richt op geavanceerde dreigingen, is sinds minstens december 2020 actief en richt zich op meerdere entiteiten in Azië. Recent onderzoek naar hun activiteiten heeft aangetoond dat ze verschillende tools gebruiken om permanente toegang tot gecompromitteerde systemen te behouden en enorme hoeveelheden data te verzamelen van organisaties in de regio Azië-Pacific.

Het misbruiken van de fout: de DLL-kapingstechniek

Beveiligingsonderzoekers die begin 2024 onderzoek deden naar ToddyCat-gerelateerde incidenten, ontdekten een verdacht DLL-bestand, 'version.dll', in de tijdelijke map van meerdere gecompromitteerde apparaten. Dit bestand, geïdentificeerd als TCESB, werd geïmplementeerd met behulp van DLL Search Order Hijacking, waarmee aanvallers de uitvoering van programma's kunnen controleren door legitieme DLL-bestanden te vervangen.

De aanval maakt gebruik van een fout in ESET's Command Line Scanner, die op onveilige wijze het bestand 'version.dll' laadt. In plaats van de legitieme versie uit systeemmappen te laden, controleert het eerst de huidige map, waardoor aanvallers de mogelijkheid krijgen hun eigen schadelijke DLL te installeren.

CVE-2024-11859: De uitgebuite kwetsbaarheid

Deze kwetsbaarheid, geregistreerd als CVE-2024-11859 (CVSS-score: 6,8), stelde aanvallers met beheerdersrechten in staat om onveilige code uit te voeren. De kwetsbaarheid zelf verleende echter geen verhoogde rechten; aanvallers hadden al beheerdersrechten nodig om er misbruik van te maken. ESET heeft de kwetsbaarheid in januari 2025 gepatcht en updates uitgebracht voor zijn beveiligingsproducten voor consumenten, bedrijven en servers op Windows.

EDRSandBlast als wapen gebruiken: hoe TCESB beveiligingsmaatregelen uitschakelt

TCESB is een aangepaste versie van de open-sourcetool EDRSandBlast. Het manipuleert kernelstructuren om beveiligingsmechanismen zoals notificatieroutines (callbacks) uit te schakelen. Dit zijn belangrijke functies die systeemdrivers waarschuwen voor kritieke gebeurtenissen zoals het aanmaken van processen of registerwijzigingen.

Om dit te bereiken, maakt TCESB gebruik van de bekende BYOVD-techniek (Bring Your Own Vulnerable Driver) en installeert een kwetsbare Dell-driver (DBUtilDrv2.sys) via de interface van Apparaatbeheer. Deze driver wordt getroffen door CVE-2021-36276, een kwetsbaarheid die privilege-escalatie veroorzaakt.

Dell-drivers: een terugkerende zwakke schakel

Dit is niet de eerste keer dat Dell-stuurprogramma's worden misbruikt bij cyberaanvallen. In 2022 maakte de aan Noord-Korea gelieerde Lazarus Group misbruik van een andere kwetsbaarheid in Dell-stuurprogramma's (CVE-2021-21551) om beveiligingsmechanismen uit te schakelen. Aanvallers blijven verouderde of kwetsbare stuurprogramma's gebruiken om beveiligingsmaatregelen te omzeilen.

De uitvoeringsstrategie van TCESB

Zodra de kwetsbare driver is geïnstalleerd, controleert TCESB continu elke twee seconden of er een payloadbestand met een specifieke naam in de huidige directory aanwezig is. Als de payload in eerste instantie niet aanwezig is, wacht TCESB totdat deze verschijnt. De payload, versleuteld met AES-128, wordt vervolgens gedecodeerd en uitgevoerd.

Detectie- en preventiemaatregelen

  • Om dergelijke bedreigingen tegen te gaan, moeten beveiligingsteams:
  • Controleer op gebeurtenissen tijdens de installatie van drivers, vooral die waarbij kwetsbare drivers betrokken zijn.
  • Let op verdachte kernel-foutopsporingsactiviteiten, vooral op systemen waarop kernel-foutopsporing niet wordt verwacht.
  • Zorg ervoor dat alle beveiligingssoftware is bijgewerkt, inclusief patches voor bekende kwetsbaarheden.
  • Beperk beheerdersrechten om te voorkomen dat aanvallers misbruik maken van dergelijke kwetsbaarheden.

Omdat cybercriminelen zich voortdurend ontwikkelen, is waakzaamheid en het implementeren van proactieve beveiligingsmaatregelen cruciaal om uzelf te verdedigen tegen geavanceerde aanvallen zoals die van ToddyCat.

Trending

Meest bekeken

Bezig met laden...