Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) TCESB Malware

TCESB Malware

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:
Português

Um agente de ameaças com vínculo chinês, conhecido por seus ataques cibernéticos na Ásia, foi observado explorando uma vulnerabilidade no software de segurança da ESET para distribuir um malware até então não documentado, codinome TCESB. Este malware recém-descoberto foi projetado para contornar medidas de segurança e executar payloads sem ser detectado.

ToddyCat: Uma Ameaça Persistente na Ásia

O ToddyCat, um grupo de ameaças avançadas, está ativo desde pelo menos dezembro de 2020, visando diversas entidades na Ásia. Investigações recentes sobre suas atividades revelaram o uso de diversas ferramentas para manter acesso persistente a sistemas comprometidos e coletar grandes quantidades de dados de organizações na região da Ásia-Pacífico.

Explorando a Falha: A Técnica de Sequestro de DLL

Os pesquisadores de segurança que investigavam incidentes relacionados ao ToddyCat no início de 2024 descobriram um arquivo DLL suspeito, "version.dll", no diretório temporário de vários dispositivos comprometidos. Esse arquivo, identificado como TCESB, foi implantado usando o sequestro de ordem de busca de DLL, que permite que invasores controlem a execução de programas substituindo arquivos DLL legítimos.

O ataque se aproveita de uma falha no Scanner de Linha de Comando da ESET, que carrega o arquivo "version.dll" de forma insegura. Em vez de carregar a versão legítima dos diretórios do sistema, ele primeiro verifica o diretório atual, dando aos invasores a oportunidade de introduzir sua própria DLL maliciosa.

CVE-2024-11859: A Vulnerabilidade Explorada

Esta vulnerabilidade, identificada como CVE-2024-11859 (pontuação CVSS: 6,8), permitia que invasores com privilégios de administrador executassem código inseguro. No entanto, a falha em si não concedia privilégios elevados — os invasores já precisavam de acesso de administrador para explorá-la. A ESET corrigiu a vulnerabilidade em janeiro de 2025, lançando atualizações para seus produtos de segurança para consumidores, empresas e servidores no Windows.

Transformando o EDRSandBlast em uma Arma: Como o TCESB Desabilita as Proteções de Segurança

O TCESB é uma versão modificada da ferramenta de código aberto EDRSandBlast. Ela manipula estruturas do kernel para desabilitar mecanismos de segurança, como rotinas de notificação (callbacks), funções-chave que alertam os drivers do sistema sobre eventos críticos, como criação de processos ou alterações no registro.

Para isso, o TCESB utiliza a conhecida técnica "Bring Your Own Vulnerable Driver" (BYOVD), instalando um driver Dell vulnerável (DBUtilDrv2.sys) por meio da interface do Gerenciador de Dispositivos. Este driver é afetado pela CVE-2021-36276, uma vulnerabilidade de escalonamento de privilégios.

Drivers Dell: Um Elo Fraco Recorrente

Esta não é a primeira vez que drivers da Dell são usados indevidamente em ataques cibernéticos. Em 2022, o Lazarus Group, ligado à Coreia do Norte, explorou outra vulnerabilidade de driver da Dell (CVE-2021-21551) para desativar mecanismos de segurança. Os invasores continuam a usar drivers desatualizados ou vulneráveis para contornar medidas de segurança.

Estratégia de Execução do TCESB

Após a instalação do driver vulnerável, o TCESB verifica continuamente a cada dois segundos se há um arquivo de payload com um nome específico no diretório atual. Se o payload não estiver presente inicialmente, o TCESB aguarda até que ele apareça. O payload, criptografado usando AES-128, é então decodificado e executado.

Medidas de Detecção e Prevenção

  • Para combater tais ameaças, as equipes de segurança devem:
  • Monitore eventos de instalação de drivers, especialmente aqueles que envolvem drivers vulneráveis.
  • Fique atento a atividades suspeitas de depuração do kernel, principalmente em sistemas onde a depuração do kernel não é esperada.
  • Garanta que todo o software de segurança esteja atualizado, incluindo patches para vulnerabilidades conhecidas.
  • Restrinja os privilégios do administrador para impedir que invasores explorem essas vulnerabilidades.

À medida em que os agentes de ameaças cibernéticas continuam a evoluir, permanecer vigilante e implementar medidas de segurança proativas é crucial para se defender contra ataques sofisticados como os conduzidos pelo ToddyCat.

Tendendo

Mais visto

Carregando...