ТЦЕСБ Малваре
Уочено је да је актер претњи повезан са Кине, познат по својим сајбер нападима широм Азије, како искоришћава рањивост у ЕСЕТ-овом безбедносном софтверу за испоруку раније недокументованог малвера, кодног назива ТЦЕСБ. Овај новооткривени злонамерни софтвер је дизајниран да заобиђе безбедносне мере и да неоткривено извршава корисне податке.
Преглед садржаја
ТоддиЦат: Упорна претња у Азији
ТоддиЦат, напредна група претњи, активна је најмање од децембра 2020, циљајући више ентитета у Азији. Недавне истраге о њиховим активностима откриле су њихову употребу различитих алата за одржавање трајног приступа компромитованим системима и прикупљање огромне количине података од организација у азијско-пацифичком региону.
Искоришћавање грешке: техника отмице ДЛЛ-а
Истраживачи безбедности који су истраживали инциденте везане за ТоддиЦат почетком 2024. открили су сумњиву ДЛЛ датотеку, „версион.длл“, у привременом директоријуму више компромитованих уређаја. Ова датотека, идентификована као ТЦЕСБ, распоређена је коришћењем отмице налога за претрагу ДЛЛ-а, што омогућава нападачима да контролишу извршавање програма заменом легитимних ДЛЛ датотека.
Напад користи грешку у ЕСЕТ-овом скенеру командне линије, који несигурно учитава датотеку 'версион.длл'. Уместо учитавања легитимне верзије из системских директоријума, прво проверава тренутни директоријум, дајући нападачима прилику да уведу сопствени злонамерни ДЛЛ.
ЦВЕ-2024-11859: Искоришћена рањивост
Ова рањивост праћена као ЦВЕ-2024-11859 (ЦВСС резултат: 6,8), омогућила је нападачима са администраторским привилегијама да изврше небезбедни код. Међутим, сама мана није давала повишене привилегије — нападачима је већ био потребан администраторски приступ да би је искористили. ЕСЕТ је закрпио рањивост у јануару 2025., издајући ажурирања за своје потрошачке, пословне и безбедносне производе за сервере на Виндовс-у.
Оружавање ЕДРСандБласт-а: Како ТЦЕСБ онемогућава безбедносну заштиту
ТЦЕСБ је модификована верзија алата отвореног кода ЕДРСандБласт. Он манипулише структурама кернела да би онемогућио безбедносне механизме као што су рутине обавештења (повратни позиви), које су кључне функције које упозоравају системске драјвере на критичне догађаје као што су креирање процеса или промене регистра.
Да би то постигао, ТЦЕСБ користи добро познату технику Бринг Иоур Овн Вулнерабле Дривер (БИОВД), инсталирајући рањиви Делл драјвер (ДБУтилДрв2.сис) преко интерфејса Девице Манагер. Овај управљачки програм је под утицајем ЦВЕ-2021-36276, рањивости ескалације привилегија.
Делл управљачки програми: Понављајућа слаба карика
Ово није први пут да су возачи компаније Делл злоупотребљени у сајбер нападима. Године 2022. Лазарус група повезана са Северном Корејом искористила је још једну рањивост Делл драјвера (ЦВЕ-2021-21551) да би онемогућила безбедносне механизме. Нападачи настављају да користе застареле или рањиве возаче да заобиђу мере безбедности.
ТЦЕСБ-ова стратегија извршења
Једном када је рањиви драјвер инсталиран, ТЦЕСБ континуирано сваке две секунде проверава да ли постоји датотека корисног оптерећења са одређеним именом у тренутном директоријуму. Ако корисни терет у почетку није присутан, ТЦЕСБ чека док се не појави. Корисно оптерећење, шифровано коришћењем АЕС-128, се затим декодира и извршава.
Мере откривања и превенције
- Да би се супротставили таквим претњама, безбедносни тимови би требало да:
- Пратите догађаје инсталације драјвера, посебно оне који укључују рањиве драјвере.
- Пазите на сумњиву активност отклањања грешака језгра, посебно на системима где се не очекује отклањање грешака језгра.
- Уверите се да је сав безбедносни софтвер ажуриран, укључујући закрпе за познате рањивости.
- Ограничите привилегије администратора како бисте спречили нападаче да искористе такве рањивости.
Како актери сајбер претњи настављају да се развијају, будност и примена проактивних безбедносних мера су кључни у одбрани од софистицираних напада попут оних које спроводи ТоддиЦат.
