TCESB skadlig programvara

En kinesisk-anknuten hotaktör känd för sina cyberattacker i Asien har observerats utnyttja en sårbarhet i ESET:s säkerhetsprogramvara för att leverera en tidigare odokumenterad skadlig programvara, kodnamnet TCESB. Denna nyupptäckta skadliga programvara är utformad för att kringgå säkerhetsåtgärder och exekvera nyttolaster oupptäckt.

ToddyCat: Ett ihållande hot i Asien

ToddyCat, en avancerad hotgrupp, har varit aktiv sedan åtminstone december 2020, riktad mot flera enheter i Asien. Nyligen genomförda undersökningar av deras aktiviteter avslöjade att de använde olika verktyg för att upprätthålla beständig åtkomst till komprometterade system och samla in stora mängder data från organisationer i Asien-Stillahavsområdet.

Utnyttja felet: DLL-kapningstekniken

Säkerhetsforskare som undersökte ToddyCat-relaterade incidenter i början av 2024 upptäckte en misstänkt DLL-fil, 'version.dll', i den tillfälliga katalogen för flera komprometterade enheter. Den här filen, identifierad som TCESB, distribuerades med DLL Search Order Hijacking, som gör att angripare kan kontrollera programexekveringen genom att ersätta legitima DLL-filer.

Attacken utnyttjar ett fel i ESET:s kommandoradsskanner, som laddar filen 'version.dll' på ett osäkert sätt. Istället för att ladda den legitima versionen från systemkataloger kontrollerar den först den aktuella katalogen, vilket ger angripare en möjlighet att introducera sin egen skadliga DLL.

CVE-2024-11859: Den exploaterade sårbarheten

Denna sårbarhet spårades som CVE-2024-11859 (CVSS-poäng: 6,8), gjorde det möjligt för angripare med administratörsbehörighet att exekvera osäker kod. Men själva felet gav inte förhöjda privilegier - angripare behövde redan administratörsåtkomst för att utnyttja den. ESET korrigerade sårbarheten i januari 2025 och utfärdade uppdateringar för sina konsument-, företags- och serversäkerhetsprodukter på Windows.

Weaponizing EDRSandBlast: Hur TCESB inaktiverar säkerhetsskydd

TCESB är en modifierad version av open source-verktyget EDRSandBlast. Den manipulerar kärnstrukturer för att inaktivera säkerhetsmekanismer som aviseringsrutiner (återuppringningar), som är nyckelfunktioner som varnar systemdrivrutiner om kritiska händelser som processskapande eller registerändringar.

För att uppnå detta använder TCESB en välkänd teknik med Bring Your Own Vulnerable Driver (BYOVD) och installerar en sårbar Dell-drivrutin (DBUtilDrv2.sys) via Enhetshanterarens gränssnitt. Den här drivrutinen påverkas av CVE-2021-36276, en sårbarhet för eskalering av rättigheter.

Dell-drivrutiner: en återkommande svag länk

Det är inte första gången Dells förare missbrukas i cyberattacker. År 2022 utnyttjade den Nordkorea-länkade Lazarus Group en annan Dell-drivrutinssårbarhet (CVE-2021-21551) för att inaktivera säkerhetsmekanismer. Angripare fortsätter att utnyttja föråldrade eller sårbara drivrutiner för att kringgå säkerhetsåtgärder.

TCESB:s utförandestrategi

När den sårbara drivrutinen är installerad, kontrollerar TCESB kontinuerligt varannan sekund efter en nyttolastfil med ett specifikt namn i den aktuella katalogen. Om nyttolasten inte är närvarande från början, väntar TCESB tills den dyker upp. Nyttolasten, krypterad med AES-128, avkodas sedan och exekveras.

Detektion och förebyggande åtgärder

• För att motverka sådana hot bör säkerhetsteam:
• Övervaka för installationshändelser för drivrutiner, särskilt de som involverar sårbara förare.
• Håll utkik efter misstänkt kärnfelsökning, särskilt på system där kärnfelsökning inte förväntas.
• Se till att all säkerhetsprogramvara är uppdaterad, inklusive patchar för kända sårbarheter.
• Begränsa administratörsbehörigheter för att förhindra angripare från att utnyttja sådana sårbarheter.

När cyberhotsaktörer fortsätter att utvecklas är det viktigt att vara vaksam och implementera proaktiva säkerhetsåtgärder för att försvara sig mot sofistikerade attacker som de som utförs av ToddyCat.