TCESB ਮਾਲਵੇਅਰ

ਏਸ਼ੀਆ ਭਰ ਵਿੱਚ ਆਪਣੇ ਸਾਈਬਰ-ਹਮਲਿਆਂ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਚੀਨੀ-ਸਬੰਧਤ ਧਮਕੀ ਐਕਟਰ ਨੂੰ ESET ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ ਤਾਂ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਮਾਲਵੇਅਰ, ਕੋਡਨੇਮ TCESB, ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਹ ਨਵਾਂ ਖੋਜਿਆ ਗਿਆ ਮਾਲਵੇਅਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਬਿਨਾਂ ਖੋਜੇ ਪੇਲੋਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਟੌਡੀਕੈਟ: ਏਸ਼ੀਆ ਵਿੱਚ ਇੱਕ ਸਥਾਈ ਖ਼ਤਰਾ

ਟੌਡੀਕੈਟ, ਇੱਕ ਉੱਨਤ ਧਮਕੀ ਸਮੂਹ, ਘੱਟੋ-ਘੱਟ ਦਸੰਬਰ 2020 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਏਸ਼ੀਆ ਵਿੱਚ ਕਈ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਉਨ੍ਹਾਂ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਹਾਲੀਆ ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਵਿੱਚ ਸੰਗਠਨਾਂ ਤੋਂ ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।

ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ: ਡੀਐਲਐਲ ਹਾਈਜੈਕਿੰਗ ਤਕਨੀਕ

2024 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ToddyCat ਨਾਲ ਸਬੰਧਤ ਘਟਨਾਵਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਵਾਲੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਈ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਦੀ ਟੈਂਪ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਸ਼ੱਕੀ DLL ਫਾਈਲ, 'version.dll' ਲੱਭੀ। ਇਹ ਫਾਈਲ, ਜਿਸਦੀ ਪਛਾਣ TCESB ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਨੂੰ DLL ਸਰਚ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਜਾਇਜ਼ DLL ਫਾਈਲਾਂ ਨੂੰ ਬਦਲ ਕੇ ਪ੍ਰੋਗਰਾਮ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਇਹ ਹਮਲਾ ESET ਦੇ ਕਮਾਂਡ ਲਾਈਨ ਸਕੈਨਰ ਵਿੱਚ ਇੱਕ ਨੁਕਸ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ, ਜੋ 'version.dll' ਫਾਈਲ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਲੋਡ ਕਰਦਾ ਹੈ। ਸਿਸਟਮ ਡਾਇਰੈਕਟਰੀਆਂ ਤੋਂ ਜਾਇਜ਼ ਸੰਸਕਰਣ ਲੋਡ ਕਰਨ ਦੀ ਬਜਾਏ, ਇਹ ਪਹਿਲਾਂ ਮੌਜੂਦਾ ਡਾਇਰੈਕਟਰੀ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਆਪਣਾ ਖਤਰਨਾਕ DLL ਪੇਸ਼ ਕਰਨ ਦਾ ਮੌਕਾ ਮਿਲਦਾ ਹੈ।

CVE-2024-11859: ਸ਼ੋਸ਼ਿਤ ਕਮਜ਼ੋਰੀ

CVE-2024-11859 (CVSS ਸਕੋਰ: 6.8) ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤੀ ਗਈ ਇਸ ਕਮਜ਼ੋਰੀ ਨੇ ਪ੍ਰਸ਼ਾਸਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਇਆ। ਹਾਲਾਂਕਿ, ਇਸ ਨੁਕਸ ਨੇ ਖੁਦ ਉੱਚੇ ਅਧਿਕਾਰ ਨਹੀਂ ਦਿੱਤੇ - ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਸਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਪਹਿਲਾਂ ਹੀ ਐਡਮਿਨ ਪਹੁੰਚ ਦੀ ਲੋੜ ਸੀ। ESET ਨੇ ਜਨਵਰੀ 2025 ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਨੂੰ ਠੀਕ ਕੀਤਾ, ਵਿੰਡੋਜ਼ 'ਤੇ ਆਪਣੇ ਖਪਤਕਾਰ, ਕਾਰੋਬਾਰ ਅਤੇ ਸਰਵਰ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਲਈ ਅੱਪਡੇਟ ਜਾਰੀ ਕੀਤੇ।

EDRSandBlast ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣਾ: TCESB ਸੁਰੱਖਿਆ ਸੁਰੱਖਿਆ ਨੂੰ ਕਿਵੇਂ ਅਯੋਗ ਕਰਦਾ ਹੈ

TCESB ਓਪਨ-ਸੋਰਸ ਟੂਲ EDRSandBlast ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ਨੋਟੀਫਿਕੇਸ਼ਨ ਰੁਟੀਨ (ਕਾਲਬੈਕ) ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਕਰਨਲ ਸਟ੍ਰਕਚਰਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਮੁੱਖ ਫੰਕਸ਼ਨ ਹਨ ਜੋ ਸਿਸਟਮ ਡਰਾਈਵਰਾਂ ਨੂੰ ਪ੍ਰਕਿਰਿਆ ਬਣਾਉਣ ਜਾਂ ਰਜਿਸਟਰੀ ਤਬਦੀਲੀਆਂ ਵਰਗੀਆਂ ਮਹੱਤਵਪੂਰਨ ਘਟਨਾਵਾਂ ਬਾਰੇ ਸੁਚੇਤ ਕਰਦੇ ਹਨ।

ਇਸ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, TCESB ਇੱਕ ਮਸ਼ਹੂਰ Bring Your Own Vulnerable Driver (BYOVD) ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਡਿਵਾਈਸ ਮੈਨੇਜਰ ਇੰਟਰਫੇਸ ਰਾਹੀਂ ਇੱਕ ਕਮਜ਼ੋਰ Dell ਡਰਾਈਵਰ (DBUtilDrv2.sys) ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਡਰਾਈਵਰ CVE-2021-36276 ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਵਾਲੀ ਕਮਜ਼ੋਰੀ ਹੈ।

ਡੈੱਲ ਡਰਾਈਵਰ: ਇੱਕ ਆਵਰਤੀ ਕਮਜ਼ੋਰ ਲਿੰਕ

ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ ਡੈੱਲ ਡਰਾਈਵਰਾਂ ਨਾਲ ਸਾਈਬਰ-ਹਮਲਿਆਂ ਵਿੱਚ ਦੁਰਵਿਵਹਾਰ ਕੀਤਾ ਗਿਆ ਹੋਵੇ। 2022 ਵਿੱਚ, ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਨੇ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਇੱਕ ਹੋਰ ਡੈੱਲ ਡਰਾਈਵਰ ਕਮਜ਼ੋਰੀ (CVE-2021-21551) ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਹਮਲਾਵਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਪੁਰਾਣੇ ਜਾਂ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਰਹਿੰਦੇ ਹਨ।

TCESB ਦੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਰਣਨੀਤੀ

ਇੱਕ ਵਾਰ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਸਥਾਪਤ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, TCESB ਮੌਜੂਦਾ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਖਾਸ ਨਾਮ ਵਾਲੀ ਪੇਲੋਡ ਫਾਈਲ ਲਈ ਹਰ ਦੋ ਸਕਿੰਟਾਂ ਵਿੱਚ ਲਗਾਤਾਰ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਪੇਲੋਡ ਸ਼ੁਰੂ ਵਿੱਚ ਮੌਜੂਦ ਨਹੀਂ ਹੈ, ਤਾਂ TCESB ਇਸਦੇ ਦਿਖਾਈ ਦੇਣ ਤੱਕ ਉਡੀਕ ਕਰਦਾ ਹੈ। AES-128 ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਪੇਲੋਡ, ਫਿਰ ਡੀਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਖੋਜ ਅਤੇ ਰੋਕਥਾਮ ਉਪਾਅ

• ਅਜਿਹੇ ਖਤਰਿਆਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ, ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਇਹ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:
• ਡਰਾਈਵਰ ਇੰਸਟਾਲੇਸ਼ਨ ਘਟਨਾਵਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ, ਖਾਸ ਕਰਕੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਨਾਲ ਸਬੰਧਤ।
• ਸ਼ੱਕੀ ਕਰਨਲ ਡੀਬੱਗਿੰਗ ਗਤੀਵਿਧੀ 'ਤੇ ਨਜ਼ਰ ਰੱਖੋ, ਖਾਸ ਕਰਕੇ ਉਨ੍ਹਾਂ ਸਿਸਟਮਾਂ 'ਤੇ ਜਿੱਥੇ ਕਰਨਲ ਡੀਬੱਗਿੰਗ ਦੀ ਉਮੀਦ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ।
• ਇਹ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਸਾਰੇ ਸੁਰੱਖਿਆ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਕੀਤੇ ਗਏ ਹਨ, ਜਿਸ ਵਿੱਚ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਪੈਚ ਵੀ ਸ਼ਾਮਲ ਹਨ।
• ਹਮਲਾਵਰਾਂ ਨੂੰ ਅਜਿਹੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਤੋਂ ਰੋਕਣ ਲਈ ਪ੍ਰਬੰਧਕ ਦੇ ਅਧਿਕਾਰਾਂ ਨੂੰ ਸੀਮਤ ਕਰੋ।

ਜਿਵੇਂ ਕਿ ਸਾਈਬਰ ਖ਼ਤਰੇ ਦੇ ਕਾਰਕ ਵਿਕਸਤ ਹੁੰਦੇ ਰਹਿੰਦੇ ਹਨ, ਟੌਡੀਕੈਟ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਗੁੰਝਲਦਾਰ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਅ ਲਈ ਚੌਕਸ ਰਹਿਣਾ ਅਤੇ ਸਰਗਰਮ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ।