Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Malware TCESB

Malware TCESB

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:
Shqip

Një aktor kërcënimi i lidhur me Kinën i njohur për sulmet e tij kibernetike në të gjithë Azinë është vërejtur duke shfrytëzuar një dobësi në softuerin e sigurisë ESET për të ofruar një malware të padokumentuar më parë, të koduar TCESB. Ky malware i sapo zbuluar është krijuar për të anashkaluar masat e sigurisë dhe për të ekzekutuar ngarkesa të pazbuluara.

ToddyCat: Një kërcënim i vazhdueshëm në Azi

ToddyCat, një grup i avancuar kërcënimi, ka qenë aktiv që të paktën që nga dhjetori 2020, duke synuar entitete të shumta në Azi. Hetimet e fundit në aktivitetet e tyre zbuluan përdorimin e tyre të mjeteve të ndryshme për të ruajtur aksesin e vazhdueshëm në sistemet e komprometuara dhe për të mbledhur sasi të mëdha të dhënash nga organizatat në rajonin Azi-Paqësor.

Shfrytëzimi i defektit: Teknika e rrëmbimit të DLL

Studiuesit e sigurisë që hetuan incidentet e lidhura me ToddyCat në fillim të vitit 2024 zbuluan një skedar të dyshimtë DLL, 'version.dll' në direktorinë temp të shumë pajisjeve të komprometuara. Ky skedar, i identifikuar si TCESB, u vendos duke përdorur DLL Search Order Hijacking, i cili lejon sulmuesit të kontrollojnë ekzekutimin e programit duke zëvendësuar skedarët legjitimë DLL.

Sulmi përdor një defekt në skanerin e linjës së komandës të ESET, i cili ngarkon në mënyrë të pasigurt skedarin 'version.dll'. Në vend që të ngarkojë versionin legjitim nga drejtoritë e sistemit, ai së pari kontrollon direktoriumin aktual, duke u dhënë sulmuesve një mundësi për të prezantuar DLL-në e tyre me qëllim të keq.

CVE-2024-11859: Dobësia e shfrytëzuar

Kjo dobësi e gjurmuar si CVE-2024-11859 (rezultati CVSS: 6.8), u mundësoi sulmuesve me privilegje administratori të ekzekutonin kodin e pasigurt. Megjithatë, vetë e meta nuk jepte privilegje të larta - sulmuesit tashmë kishin nevojë për akses administratori për ta shfrytëzuar atë. ESET korrigjoi cenueshmërinë në janar 2025, duke lëshuar përditësime për produktet e saj të sigurisë së konsumatorit, biznesit dhe serverit në Windows.

Armatizimi i EDRSandBlast: Si TCESB çaktivizon mbrojtjen e sigurisë

TCESB është një version i modifikuar i mjetit me burim të hapur EDRSandBlast. Ai manipulon strukturat e kernelit për të çaktivizuar mekanizmat e sigurisë siç janë rutinat e njoftimit (kthimet e telefonatave), të cilat janë funksione kyçe që paralajmërojnë drejtuesit e sistemit për ngjarje kritike si krijimi i procesit ose ndryshimet e regjistrit.

Për ta arritur këtë, TCESB përdor një teknikë të mirënjohur Bring Your Own Vulnerable Driver (BYOVD), duke instaluar një drejtues të cenueshëm Dell (DBUtilDrv2.sys) nëpërmjet ndërfaqes Device Manager. Ky drejtues është prekur nga CVE-2021-36276, një cenueshmëri e përshkallëzimit të privilegjit.

Drejtuesit e Dell: Një lidhje e dobët e përsëritur

Kjo nuk është hera e parë që drejtuesit e Dell janë abuzuar në sulme kibernetike. Në vitin 2022, Grupi Lazarus i lidhur me Korenë e Veriut shfrytëzoi një dobësi tjetër të drejtuesit të Dell (CVE-2021-21551) për të çaktivizuar mekanizmat e sigurisë. Sulmuesit vazhdojnë të përdorin drejtues të vjetëruar ose të cenueshëm për të anashkaluar masat e sigurisë.

Strategjia e Ekzekutimit të TCESB

Pasi të instalohet drejtuesi i cenueshëm, TCESB kontrollon vazhdimisht çdo dy sekonda për një skedar të ngarkesës me një emër specifik në drejtorinë aktuale. Nëse ngarkesa nuk është e pranishme fillimisht, TCESB pret derisa të shfaqet. Ngarkesa, e koduar duke përdorur AES-128, më pas deshifrohet dhe ekzekutohet.

Masat e zbulimit dhe parandalimit

  • Për t'iu kundërvënë kërcënimeve të tilla, ekipet e sigurisë duhet:
  • Monitoroni për ngjarjet e instalimit të drejtuesve, veçanërisht ato që përfshijnë drejtues të pambrojtur.
  • Shiko për aktivitete të dyshimta korrigjimi të kernelit, veçanërisht në sistemet ku nuk pritet korrigjimi i kernelit.
  • Sigurohuni që i gjithë softueri i sigurisë të përditësohet, duke përfshirë arna për dobësitë e njohura.
  • Kufizoni privilegjet e administratorit për të parandaluar sulmuesit që të shfrytëzojnë dobësi të tilla.

Ndërsa aktorët e kërcënimeve kibernetike vazhdojnë të evoluojnë, qëndrimi vigjilent dhe zbatimi i masave proaktive të sigurisë është thelbësor në mbrojtjen kundër sulmeve të sofistikuara si ato të kryera nga ToddyCat.

Në trend

Më e shikuara

Po ngarkohet...