Zlonamerna programska oprema TCESB
S Kitajsko povezani akter grožnje, znan po svojih kibernetskih napadih po vsej Aziji, so opazili, kako izkorišča ranljivost v varnostni programski opremi ESET za dostavo prej nedokumentirane zlonamerne programske opreme s kodnim imenom TCESB. Ta na novo odkrita zlonamerna programska oprema je zasnovana tako, da zaobide varnostne ukrepe in neodkrito izvaja koristne obremenitve.
Kazalo
ToddyCat: Stalna grožnja v Aziji
ToddyCat, napredna skupina za grožnje, je aktivna vsaj od decembra 2020 in cilja na več subjektov v Aziji. Nedavne preiskave njihovih dejavnosti so razkrile njihovo uporabo različnih orodij za vzdrževanje stalnega dostopa do ogroženih sistemov in zbiranje ogromnih količin podatkov iz organizacij v azijsko-pacifiški regiji.
Izkoriščanje napake: tehnika ugrabitve DLL
Varnostni raziskovalci, ki so v začetku leta 2024 preiskovali incidente, povezane s ToddyCatom, so v začasnem imeniku več ogroženih naprav odkrili sumljivo datoteko DLL, »version.dll«. Ta datoteka, identificirana kot TCESB, je bila nameščena z ugrabitvijo DLL Search Order Hijacking, ki napadalcem omogoča nadzor nad izvajanjem programa z zamenjavo legitimnih datotek DLL.
Napad izkorišča napako v pregledovalniku ukazne vrstice ESET, ki nevarno naloži datoteko »version.dll«. Namesto da bi naložil zakonito različico iz sistemskih imenikov, najprej preveri trenutni imenik, s čimer daje napadalcem možnost, da uvedejo svoj zlonamerni DLL.
CVE-2024-11859: Izkoriščena ranljivost
Ta ranljivost, sledena kot CVE-2024-11859 (ocena CVSS: 6,8), je napadalcem s skrbniškimi pravicami omogočila izvajanje nevarne kode. Vendar napaka sama po sebi ni podelila povišanih privilegijev - napadalci so že potrebovali skrbniški dostop, da so jo izkoristili. ESET je ranljivost popravil januarja 2025 in izdal posodobitve za svoje potrošniške, poslovne in strežniške varnostne izdelke v sistemu Windows.
Weaponizing EDRSandBlast: Kako TCESB onemogoči varnostno zaščito
TCESB je spremenjena različica odprtokodnega orodja EDRSandBlast. Manipulira strukture jedra, da onemogoči varnostne mehanizme, kot so rutine obveščanja (povratni klici), ki so ključne funkcije, ki sistemske gonilnike opozorijo na kritične dogodke, kot je ustvarjanje procesa ali spremembe registra.
Da bi to dosegel, TCESB uporablja dobro znano tehniko Bring Your Own Vulnerable Driver (BYOVD), s katero namesti ranljiv gonilnik Dell (DBUtilDrv2.sys) prek vmesnika upravitelja naprav. Na ta gonilnik vpliva CVE-2021-36276, ranljivost stopnjevanja privilegijev.
Gonilniki Dell: Ponavljajoča se šibka povezava
To ni prvič, da so bili gonilniki Dell zlorabljeni v kibernetskih napadih. Leta 2022 je skupina Lazarus, povezana s Severno Korejo, izkoristila drugo ranljivost gonilnika Dell (CVE-2021-21551), da je onemogočila varnostne mehanizme. Napadalci še naprej izkoriščajo zastarele ali ranljive gonilnike, da zaobidejo varnostne ukrepe.
Izvedbena strategija TCESB
Ko je ranljivi gonilnik nameščen, TCESB vsaki dve sekundi neprekinjeno preverja, ali je v trenutnem imeniku naložena datoteka z določenim imenom. Če koristnega tovora na začetku ni, TCESB počaka, dokler se ne pojavi. Tovor, šifriran z uporabo AES-128, se nato dekodira in izvede.
Ukrepi za odkrivanje in preprečevanje
- Za boj proti takšnim grožnjam morajo varnostne ekipe:
- Spremljajte dogodke namestitve gonilnikov, zlasti tiste, ki vključujejo ranljive gonilnike.
- Bodite pozorni na sumljivo dejavnost razhroščevanja jedra, zlasti v sistemih, kjer odpravljanje napak jedra ni pričakovano.
- Zagotovite, da je vsa varnostna programska oprema posodobljena, vključno s popravki za znane ranljivosti.
- Omejite skrbniške pravice, da preprečite napadalcem izkoriščanje takšnih ranljivosti.
Ker se akterji kibernetskih groženj še naprej razvijajo, je ostati pozoren in izvajati proaktivne varnostne ukrepe ključnega pomena pri obrambi pred sofisticiranimi napadi, kot so tisti, ki jih izvaja ToddyCat.
