Škodlivý softvér TCESB
Hrozba spojený s Čínou, ktorá je známa svojimi kybernetickými útokmi v Ázii, bola spozorovaná pri zneužívaní zraniteľnosti v bezpečnostnom softvéri ESET na šírenie predtým nezdokumentovaného malvéru s kódovým označením TCESB. Tento novoobjavený malvér je navrhnutý tak, aby obchádzal bezpečnostné opatrenia a spúšťal nezistené užitočné zaťaženia.
Obsah
ToddyCat: Trvalá hrozba v Ázii
ToddyCat, skupina pre pokročilé hrozby, je aktívna minimálne od decembra 2020 a zameriava sa na viaceré subjekty v Ázii. Nedávne vyšetrovanie ich aktivít odhalilo, že používajú rôzne nástroje na udržanie trvalého prístupu k napadnutým systémom a zhromažďovanie obrovského množstva údajov od organizácií v ázijsko-pacifickom regióne.
Využitie chyby: Technika únosu knižnice DLL
Bezpečnostní výskumníci, ktorí vyšetrovali incidenty súvisiace s ToddyCat začiatkom roku 2024, objavili podozrivý súbor DLL „version.dll“ v adresári temp viacerých napadnutých zariadení. Tento súbor, označený ako TCESB, bol nasadený pomocou nástroja DLL Search Order Hijacking, ktorý útočníkom umožňuje kontrolovať vykonávanie programu nahradením legitímnych súborov DLL.
Útok využíva chybu v nástroji ESET Command Line Scanner, ktorý neisto načíta súbor 'version.dll'. Namiesto načítania legitímnej verzie zo systémových adresárov najprv skontroluje aktuálny adresár, čím útočníkom poskytne príležitosť predstaviť si vlastnú škodlivú knižnicu DLL.
CVE-2024-11859: The Exploited Vulnerability
Táto chyba zabezpečenia sledovaná ako CVE-2024-11859 (skóre CVSS: 6,8) umožnila útočníkom s oprávneniami správcu spustiť nebezpečný kód. Samotná chyba však neudeľovala zvýšené privilégiá – útočníci už potrebovali prístup správcu, aby ju mohli využiť. Spoločnosť ESET opravila túto chybu zabezpečenia v januári 2025 a vydala aktualizácie pre svoje spotrebiteľské, podnikové a serverové bezpečnostné produkty v systéme Windows.
Vyzbrojenie EDRSandBlast: Ako TCESB deaktivuje bezpečnostnú ochranu
TCESB je upravená verzia open-source nástroja EDRSandBlast. Manipuluje so štruktúrami jadra tak, aby deaktivoval bezpečnostné mechanizmy, ako sú notifikačné rutiny (spätné volanie), čo sú kľúčové funkcie, ktoré upozorňujú ovládače systému na kritické udalosti, ako je vytvorenie procesu alebo zmeny registra.
Na dosiahnutie tohto cieľa TCESB využíva známu techniku Bring Your Own Vulnerable Driver (BYOVD), ktorá inštaluje zraniteľný ovládač Dell (DBUtilDrv2.sys) cez rozhranie správcu zariadení. Tento ovládač je ovplyvnený chybou zabezpečenia CVE-2021-36276, ktorá predstavuje eskaláciu privilégií.
Ovládače Dell: opakujúci sa slabý článok
Nie je to prvýkrát, čo boli vodiči Dell zneužití pri kybernetických útokoch. V roku 2022 spoločnosť Lazarus Group spojená so Severnou Kóreou využila ďalšiu zraniteľnosť ovládača Dell (CVE-2021-21551) na deaktiváciu bezpečnostných mechanizmov. Útočníci naďalej využívajú zastaraných alebo zraniteľných vodičov, aby obišli bezpečnostné opatrenia.
Stratégia vykonávania TCESB
Po nainštalovaní zraniteľného ovládača TCESB nepretržite každé dve sekundy kontroluje súbor užitočného zaťaženia so špecifickým názvom v aktuálnom adresári. Ak užitočné zaťaženie na začiatku nie je prítomné, TCESB počká, kým sa objaví. Užitočné zaťaženie, zašifrované pomocou AES-128, sa potom dekóduje a spustí.
Detekčné a preventívne opatrenia
- Na boj proti takýmto hrozbám by bezpečnostné tímy mali:
- Monitorujte udalosti inštalácie ovládačov, najmä tie, ktoré zahŕňajú zraniteľné ovládače.
- Sledujte podozrivú aktivitu ladenia jadra, najmä v systémoch, kde sa ladenie jadra neočakáva.
- Zabezpečte, aby bol všetok bezpečnostný softvér aktualizovaný, vrátane opráv známych zraniteľností.
- Obmedzte oprávnenia správcu, aby ste útočníkom zabránili vo využívaní takýchto zraniteľností.
Keďže aktéri kybernetických hrozieb sa neustále vyvíjajú, zostať ostražití a implementovať proaktívne bezpečnostné opatrenia sú kľúčové pri obrane proti sofistikovaným útokom, ako sú tie, ktoré vedie ToddyCat.
