Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Oprogramowanie złośliwe TCESB

Oprogramowanie złośliwe TCESB

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:
Polski

Zaobserwowano, że powiązany z Chinami aktor zagrożeń znany z cyberataków w całej Azji wykorzystuje lukę w zabezpieczeniach oprogramowania zabezpieczającego ESET, aby dostarczyć wcześniej nieudokumentowane złośliwe oprogramowanie o nazwie kodowej TCESB. To nowo odkryte złośliwe oprogramowanie ma na celu ominięcie środków bezpieczeństwa i wykonywanie ładunków bez wykrycia.

ToddyCat: Stałe zagrożenie w Azji

ToddyCat, zaawansowana grupa zagrożeń, działa od co najmniej grudnia 2020 r., atakując wiele podmiotów w Azji. Ostatnie dochodzenia w sprawie ich działań ujawniły, że używają różnych narzędzi do utrzymywania stałego dostępu do naruszonych systemów i gromadzenia ogromnych ilości danych z organizacji w regionie Azji i Pacyfiku.

Wykorzystanie luki: technika przechwytywania bibliotek DLL

Badacze bezpieczeństwa badający incydenty związane z ToddyCat na początku 2024 r. odkryli podejrzany plik DLL, „version.dll”, w katalogu tymczasowym wielu zainfekowanych urządzeń. Ten plik, zidentyfikowany jako TCESB, został wdrożony przy użyciu DLL Search Order Hijacking, co pozwala atakującym kontrolować wykonywanie programu poprzez zastępowanie legalnych plików DLL.

Atak wykorzystuje lukę w Command Line Scanner firmy ESET, która niebezpiecznie ładuje plik „version.dll”. Zamiast ładować legalną wersję z katalogów systemowych, najpierw sprawdza bieżący katalog, dając atakującym okazję do wprowadzenia własnej złośliwej biblioteki DLL.

CVE-2024-11859: Wykorzystana luka w zabezpieczeniach

Ta luka w zabezpieczeniach oznaczona jako CVE-2024-11859 (wynik CVSS: 6,8) umożliwiała atakującym z uprawnieniami administratora wykonywanie niebezpiecznego kodu. Jednak sama luka nie dawała podwyższonych uprawnień — atakujący potrzebowali już dostępu administratora, aby ją wykorzystać. ESET załatał lukę w zabezpieczeniach w styczniu 2025 r., wydając aktualizacje dla swoich produktów zabezpieczających dla klientów indywidualnych, firm i serwerów w systemie Windows.

Uzbrajanie EDRSandBlast: Jak TCESB wyłącza zabezpieczenia

TCESB to zmodyfikowana wersja narzędzia open-source EDRSandBlast. Manipuluje strukturami jądra, aby wyłączyć mechanizmy bezpieczeństwa, takie jak procedury powiadomień (callbacki), które są kluczowymi funkcjami, które ostrzegają sterowniki systemu o krytycznych zdarzeniach, takich jak tworzenie procesów lub zmiany w rejestrze.

Aby to osiągnąć, TCESB stosuje dobrze znaną technikę Bring Your Own Vulnerable Driver (BYOVD), instalując podatny sterownik Dell (DBUtilDrv2.sys) za pośrednictwem interfejsu Menedżera urządzeń. Ten sterownik jest dotknięty luką CVE-2021-36276, luką w zabezpieczeniach związaną z eskalacją uprawnień.

Sterowniki Dell: powracający słaby punkt

To nie pierwszy raz, gdy sterowniki Dell zostały wykorzystane w cyberatakach. W 2022 r. powiązana z Koreą Północną grupa Lazarus wykorzystała kolejną lukę w zabezpieczeniach sterowników Dell (CVE-2021-21551), aby wyłączyć mechanizmy bezpieczeństwa. Atakujący nadal wykorzystują przestarzałe lub podatne sterowniki, aby ominąć środki bezpieczeństwa.

Strategia realizacji TCESB

Po zainstalowaniu podatnego sterownika TCESB stale co dwie sekundy sprawdza, czy w bieżącym katalogu znajduje się plik ładunku o określonej nazwie. Jeśli ładunek nie jest początkowo obecny, TCESB czeka, aż się pojawi. Ładunek, zaszyfrowany przy użyciu AES-128, jest następnie dekodowany i wykonywany.

Środki wykrywania i zapobiegania

  • Aby przeciwdziałać takim zagrożeniom, zespoły ds. bezpieczeństwa powinny:
  • Monitoruj zdarzenia związane z instalacją sterowników, zwłaszcza tych obejmujących sterowniki podatne na ataki.
  • Należy zwracać uwagę na podejrzaną aktywność debugowania jądra, zwłaszcza w systemach, w których debugowanie jądra nie jest spodziewane.
  • Upewnij się, że całe oprogramowanie zabezpieczające jest aktualne, łącznie z poprawkami na znane luki w zabezpieczeniach.
  • Ogranicz uprawnienia administratora, aby uniemożliwić atakującym wykorzystanie takich luk.

W obliczu ciągłej ewolucji cyberzagrożeń zachowanie czujności i wdrażanie proaktywnych środków bezpieczeństwa ma kluczowe znaczenie dla obrony przed wyrafinowanymi atakami, takimi jak te przeprowadzane przez ToddyCat.

Popularne

Najczęściej oglądane

Ładowanie...