มัลแวร์ TCESB

ผู้ก่อภัยคุกคามที่เกี่ยวข้องกับจีนซึ่งเป็นที่รู้จักจากการโจมตีทางไซเบอร์ทั่วเอเชีย ถูกตรวจพบว่าใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์รักษาความปลอดภัยของ ESET เพื่อส่งมัลแวร์ที่ยังไม่มีการบันทึกมาก่อน ซึ่งมีชื่อรหัสว่า TCESB มัลแวร์ที่เพิ่งค้นพบนี้ได้รับการออกแบบมาเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยและรันเพย์โหลดโดยไม่ถูกตรวจพบ

ToddyCat: ภัยคุกคามที่คงอยู่ตลอดกาลในเอเชีย

ToddyCat ซึ่งเป็นกลุ่มภัยคุกคามขั้นสูง ได้เคลื่อนไหวมาตั้งแต่เดือนธันวาคม 2020 เป็นอย่างน้อย โดยกำหนดเป้าหมายไปที่หน่วยงานหลายแห่งในเอเชีย การสืบสวนล่าสุดเกี่ยวกับกิจกรรมของกลุ่มดังกล่าวเผยให้เห็นว่าพวกเขาใช้เครื่องมือต่างๆ เพื่อรักษาการเข้าถึงระบบที่ถูกบุกรุกอย่างต่อเนื่อง และรวบรวมข้อมูลจำนวนมากจากองค์กรต่างๆ ในภูมิภาคเอเชียแปซิฟิก

การใช้ประโยชน์จากข้อบกพร่อง: เทคนิคการแย่งชิง DLL

นักวิจัยด้านความปลอดภัยที่กำลังสืบสวนเหตุการณ์ที่เกี่ยวข้องกับ ToddyCat ในช่วงต้นปี 2024 ค้นพบไฟล์ DLL ที่น่าสงสัย 'version.dll' ในไดเร็กทอรีชั่วคราวของอุปกรณ์ที่ถูกบุกรุกหลายเครื่อง ไฟล์นี้ซึ่งระบุว่าเป็น TCESB ได้ถูกใช้งานโดยใช้ DLL Search Order Hijacking ซึ่งทำให้ผู้โจมตีสามารถควบคุมการทำงานของโปรแกรมได้โดยการแทนที่ไฟล์ DLL ที่ถูกต้อง

การโจมตีนี้ใช้ประโยชน์จากจุดบกพร่องในโปรแกรมสแกนบรรทัดคำสั่งของ ESET ซึ่งโหลดไฟล์ 'version.dll' อย่างไม่ปลอดภัย แทนที่จะโหลดเวอร์ชันที่ถูกต้องจากไดเร็กทอรีของระบบ จะทำการตรวจสอบไดเร็กทอรีปัจจุบันก่อน ทำให้ผู้โจมตีมีโอกาสเปิดตัว DLL ที่เป็นอันตรายของตนเอง

CVE-2024-11859: ช่องโหว่ที่ถูกใช้ประโยชน์

ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2024-11859 (คะแนน CVSS: 6.8) ทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบสามารถรันโค้ดที่ไม่ปลอดภัยได้ อย่างไรก็ตาม ข้อบกพร่องนี้ไม่ได้ให้สิทธิ์ระดับสูง ผู้โจมตีจำเป็นต้องได้รับสิทธิ์ของผู้ดูแลระบบจึงจะใช้ประโยชน์จากช่องโหว่นี้ได้ ESET ได้แก้ไขช่องโหว่นี้ในเดือนมกราคม 2025 โดยออกการอัปเดตสำหรับผลิตภัณฑ์ด้านความปลอดภัยสำหรับผู้บริโภค ธุรกิจ และเซิร์ฟเวอร์บน Windows

การใช้ EDRSandBlast เป็นอาวุธ: TCESB ปิดใช้งานการป้องกันความปลอดภัยอย่างไร

TCESB เป็นเครื่องมือโอเพ่นซอร์ส EDRSandBlast เวอร์ชันดัดแปลง โดยเครื่องมือนี้จะควบคุมโครงสร้างเคอร์เนลเพื่อปิดใช้งานกลไกความปลอดภัย เช่น รูทีนการแจ้งเตือน (คอลแบ็ก) ซึ่งเป็นฟังก์ชันหลักที่แจ้งเตือนไดรเวอร์ระบบเกี่ยวกับเหตุการณ์สำคัญ เช่น การสร้างกระบวนการหรือการเปลี่ยนแปลงรีจิสทรี

เพื่อให้บรรลุเป้าหมายนี้ TCESB ได้ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) ที่รู้จักกันดี โดยติดตั้งไดรเวอร์ Dell ที่มีช่องโหว่ (DBUtilDrv2.sys) ผ่านอินเทอร์เฟซ Device Manager ไดรเวอร์นี้ได้รับผลกระทบจาก CVE-2021-36276 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์

ไดรเวอร์ Dell: จุดอ่อนที่เกิดขึ้นซ้ำๆ

นี่ไม่ใช่ครั้งแรกที่ไดรเวอร์ของ Dell ถูกนำไปใช้ในทางที่ผิดในการโจมตีทางไซเบอร์ ในปี 2022 กลุ่ม Lazarus ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือได้ใช้ประโยชน์จากช่องโหว่ไดรเวอร์ของ Dell อีกจุดหนึ่ง (CVE-2021-21551) เพื่อปิดการใช้งานกลไกความปลอดภัย ผู้โจมตียังคงใช้ไดรเวอร์ที่ล้าสมัยหรือมีช่องโหว่เพื่อหลบเลี่ยงมาตรการความปลอดภัย

กลยุทธ์การดำเนินการของ สธ.

เมื่อติดตั้งไดรเวอร์ที่มีช่องโหว่แล้ว TCESB จะตรวจสอบไฟล์เพย์โหลดที่มีชื่อเฉพาะในไดเร็กทอรีปัจจุบันอย่างต่อเนื่องทุก ๆ สองวินาที หากเพย์โหลดไม่ปรากฏขึ้นในตอนแรก TCESB จะรอจนกว่าจะปรากฏขึ้น จากนั้นจึงถอดรหัสและดำเนินการเพย์โหลดที่เข้ารหัสโดยใช้ AES-128

มาตรการตรวจจับและป้องกัน

• เพื่อรับมือกับภัยคุกคามดังกล่าว ทีมงานด้านความปลอดภัยควรทำดังนี้:
• ตรวจสอบเหตุการณ์การติดตั้งไดรเวอร์ โดยเฉพาะอย่างยิ่งเหตุการณ์ที่เกี่ยวข้องกับไดรเวอร์ที่มีช่องโหว่
• ระวังกิจกรรมการดีบักเคอร์เนลที่น่าสงสัย โดยเฉพาะในระบบที่ไม่คาดว่าจะมีการดีบักเคอร์เนล
• ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ความปลอดภัยทั้งหมดได้รับการอัปเดต รวมถึงแพตช์สำหรับช่องโหว่ที่ทราบ
• จำกัดสิทธิ์ของผู้ดูแลระบบเพื่อป้องกันผู้โจมตีจากการใช้ประโยชน์จากช่องโหว่ดังกล่าว

เนื่องจากผู้ก่อให้เกิดภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง การเฝ้าระวังและการนำมาตรการรักษาความปลอดภัยเชิงรุกมาใช้จึงมีความสำคัญอย่างยิ่งในการป้องกันการโจมตีที่ซับซ้อน เช่นที่ ToddyCat ดำเนินการ