Вредоносное ПО TCESB
Китайский аффилированный субъект угроз, известный своими кибератаками по всей Азии, был замечен в использовании уязвимости в программном обеспечении безопасности ESET для доставки ранее недокументированного вредоносного ПО под кодовым названием TCESB. Это недавно обнаруженное вредоносное ПО предназначено для обхода мер безопасности и выполнения полезных нагрузок незамеченным.
Оглавление
ToddyCat: постоянная угроза в Азии
ToddyCat, передовая группа угроз, действует как минимум с декабря 2020 года, нацеливаясь на несколько организаций в Азии. Недавние расследования их деятельности выявили использование ими различных инструментов для поддержания постоянного доступа к скомпрометированным системам и сбора огромных объемов данных из организаций в Азиатско-Тихоокеанском регионе.
Эксплуатация уязвимости: метод взлома DLL
Исследователи безопасности, расследующие инциденты, связанные с ToddyCat, в начале 2024 года обнаружили подозрительный файл DLL, «version.dll», во временном каталоге нескольких скомпрометированных устройств. Этот файл, идентифицированный как TCESB, был развернут с помощью перехвата порядка поиска DLL, что позволяет злоумышленникам контролировать выполнение программы, заменяя легитимные файлы DLL.
Атака использует уязвимость в сканере командной строки ESET, который небезопасно загружает файл «version.dll». Вместо загрузки легитимной версии из системных каталогов, он сначала проверяет текущий каталог, давая злоумышленникам возможность внедрить свою собственную вредоносную DLL.
CVE-2024-11859: Эксплуатируемая уязвимость
Эта уязвимость, отслеживаемая как CVE-2024-11859 (оценка CVSS: 6,8), позволяла злоумышленникам с правами администратора выполнять небезопасный код. Однако сама уязвимость не предоставляла повышенных привилегий — злоумышленникам уже требовался доступ администратора для ее эксплуатации. ESET исправила уязвимость в январе 2025 года, выпустив обновления для своих потребительских, корпоративных и серверных продуктов безопасности на Windows.
Вооружение EDRSandBlast: как TCESB отключает средства защиты
TCESB — это модифицированная версия инструмента с открытым исходным кодом EDRSandBlast. Он манипулирует структурами ядра, чтобы отключить механизмы безопасности, такие как процедуры уведомления (обратные вызовы), которые являются ключевыми функциями, оповещающими системные драйверы о критических событиях, таких как создание процесса или изменения в реестре.
Для этого TCESB использует известную технику Bring Your Own Vulnerable Driver (BYOVD), устанавливая уязвимый драйвер Dell (DBUtilDrv2.sys) через интерфейс диспетчера устройств. Этот драйвер подвержен уязвимости CVE-2021-36276, связанной с повышением привилегий.
Драйверы Dell: повторяющееся слабое звено
Это не первый случай, когда драйверы Dell подвергаются кибератакам. В 2022 году связанная с Северной Кореей группа Lazarus использовала еще одну уязвимость драйверов Dell (CVE-2021-21551), чтобы отключить механизмы безопасности. Злоумышленники продолжают использовать устаревшие или уязвимые драйверы для обхода мер безопасности.
Стратегия исполнения TCESB
После установки уязвимого драйвера TCESB непрерывно проверяет каждые две секунды наличие файла полезной нагрузки с определенным именем в текущем каталоге. Если полезная нагрузка изначально отсутствует, TCESB ждет, пока она не появится. Затем полезная нагрузка, зашифрованная с помощью AES-128, декодируется и выполняется.
Меры обнаружения и предотвращения
- Для противодействия таким угрозам службы безопасности должны:
- Отслеживайте события установки драйверов, особенно те, которые связаны с уязвимыми драйверами.
- Следите за подозрительной активностью отладки ядра, особенно в системах, где отладка ядра не предполагается.
- Убедитесь, что все программное обеспечение безопасности обновлено, включая исправления для известных уязвимостей.
- Ограничьте привилегии администратора, чтобы не допустить использования злоумышленниками таких уязвимостей.
Поскольку киберпреступники продолжают развиваться, сохранение бдительности и реализация упреждающих мер безопасности имеют решающее значение для защиты от сложных атак, подобных тем, которые совершает ToddyCat.
