Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Malware TCESB

Malware TCESB

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:
Română

Un actor de amenințări afiliat chinez, cunoscut pentru atacurile sale cibernetice din Asia, a fost observat exploatând o vulnerabilitate din software-ul de securitate ESET pentru a furniza un malware nedocumentat anterior, cu nume de cod TCESB. Acest malware nou descoperit este conceput pentru a ocoli măsurile de securitate și pentru a executa sarcini utile nedetectate.

ToddyCat: O amenințare persistentă în Asia

ToddyCat, un grup avansat de amenințări, este activ cel puțin din decembrie 2020, vizând mai multe entități din Asia. Investigațiile recente asupra activităților lor au relevat utilizarea diferitelor instrumente pentru a menține accesul persistent la sistemele compromise și pentru a colecta cantități mari de date de la organizațiile din regiunea Asia-Pacific.

Exploatarea defectului: Tehnica de deturnare a DLL

Cercetătorii de securitate care investigau incidentele legate de ToddyCat la începutul anului 2024 au descoperit un fișier DLL suspect, „version.dll”, în directorul temporar al mai multor dispozitive compromise. Acest fișier, identificat ca TCESB, a fost implementat folosind DLL Search Order Hijacking, care permite atacatorilor să controleze execuția programului prin înlocuirea fișierelor DLL legitime.

Atacul folosește o defecțiune a scanerului de linie de comandă al ESET, care încarcă în mod nesigur fișierul „version.dll”. În loc să încarce versiunea legitimă din directoarele de sistem, mai întâi verifică directorul curent, oferind atacatorilor posibilitatea de a-și introduce propriul DLL rău intenționat.

CVE-2024-11859: Vulnerabilitatea exploatată

Această vulnerabilitate urmărită ca CVE-2024-11859 (scor CVSS: 6,8), a permis atacatorilor cu privilegii de administrator să execute cod nesigur. Cu toate acestea, defectul în sine nu a acordat privilegii ridicate – atacatorii aveau deja nevoie de acces de administrator pentru a o exploata. ESET a corectat vulnerabilitatea în ianuarie 2025, emitând actualizări pentru produsele sale de securitate pentru consumatori, afaceri și server pe Windows.

Armarea EDRSandBlast: Cum dezactivează TCESB protecțiile de securitate

TCESB este o versiune modificată a instrumentului open-source EDRSandBlast. Acesta manipulează structurile nucleului pentru a dezactiva mecanismele de securitate, cum ar fi rutinele de notificare (callbacks), care sunt funcții cheie care alertează driverele de sistem despre evenimente critice, cum ar fi crearea procesului sau modificările registrului.

Pentru a realiza acest lucru, TCESB folosește o tehnică binecunoscută Bring Your Own Vulnerable Driver (BYOVD), instalând un driver Dell vulnerabil (DBUtilDrv2.sys) prin interfața Device Manager. Acest driver este afectat de CVE-2021-36276, o vulnerabilitate de escaladare a privilegiilor.

Drivere Dell: o verigă slabă recurentă

Nu este prima dată când șoferii Dell sunt abuzați în atacuri cibernetice. În 2022, grupul Lazarus, legat de Coreea de Nord, a exploatat o altă vulnerabilitate a driverului Dell (CVE-2021-21551) pentru a dezactiva mecanismele de securitate. Atacatorii continuă să folosească șoferii învechiți sau vulnerabili pentru a ocoli măsurile de securitate.

Strategia de execuție a TCESB

Odată ce driverul vulnerabil este instalat, TCESB verifică în mod continuu la fiecare două secunde un fișier de încărcare utilă cu un nume specific în directorul curent. Dacă sarcina utilă nu este prezentă inițial, TCSB așteaptă până când apare. Sarcina utilă, criptată folosind AES-128, este apoi decodificată și executată.

Măsuri de detectare și prevenire

  • Pentru a contracara astfel de amenințări, echipele de securitate ar trebui:
  • Monitorizați evenimentele de instalare a driverelor, în special cele care implică șoferi vulnerabili.
  • Urmăriți activitățile suspecte de depanare a nucleului, în special pe sistemele în care depanarea nucleului nu este așteptată.
  • Asigurați-vă că toate programele de securitate sunt actualizate, inclusiv corecțiile pentru vulnerabilități cunoscute.
  • Restricționați privilegiile de administrator pentru a preveni atacatorii să exploateze astfel de vulnerabilități.

Pe măsură ce actorii amenințărilor cibernetice continuă să evolueze, rămânerea vigilenți și implementarea măsurilor de securitate proactive este crucială în apărarea împotriva atacurilor sofisticate precum cele efectuate de ToddyCat.

Trending

Cele mai văzute

Se încarcă...