TCESB Malware

Napagmasdan ang isang aktor ng pagbabanta na nauugnay sa China na kilala sa mga cyber-attack nito sa buong Asia na nagsasamantala sa isang kahinaan sa software ng seguridad ng ESET upang maghatid ng dati nang hindi dokumentado na malware, na may pangalang TCESB. Ang bagong natuklasang malware na ito ay idinisenyo upang i-bypass ang mga hakbang sa seguridad at magsagawa ng mga payload nang hindi natukoy.

ToddyCat: Isang Patuloy na Banta sa Asya

Ang ToddyCat, isang advanced na grupo ng pagbabanta, ay naging aktibo mula pa noong Disyembre 2020, na nagta-target ng maraming entity sa Asia. Ang mga kamakailang pagsisiyasat sa kanilang mga aktibidad ay nagsiwalat ng kanilang paggamit ng iba't ibang mga tool upang mapanatili ang patuloy na pag-access sa mga nakompromisong system at mangolekta ng napakaraming data mula sa mga organisasyon sa rehiyon ng Asia-Pacific.

Pagsasamantala sa Kapintasan: Ang DLL Hijacking Technique

Ang mga mananaliksik sa seguridad na nag-iimbestiga sa mga insidenteng nauugnay sa ToddyCat noong unang bahagi ng 2024 ay nakadiskubre ng kahina-hinalang DLL file, 'version.dll,' sa temp directory ng maraming nakompromisong device. Ang file na ito, na kinilala bilang TCESB, ay na-deploy gamit ang DLL Search Order Hijacking, na nagpapahintulot sa mga attacker na kontrolin ang pagpapatupad ng program sa pamamagitan ng pagpapalit ng mga lehitimong DLL file.

Ang pag-atake ay gumagamit ng isang depekto sa Command Line Scanner ng ESET, na hindi secure na naglo-load ng 'version.dll' na file. Sa halip na i-load ang lehitimong bersyon mula sa mga direktoryo ng system, sinusuri muna nito ang kasalukuyang direktoryo, na nagbibigay ng pagkakataon sa mga umaatake na ipakilala ang kanilang sariling malisyosong DLL.

CVE-2024-11859: Ang Pinagsamantalahang Kahinaan

Ang kahinaang ito na sinusubaybayan bilang CVE-2024-11859 (CVSS score: 6.8), ay nagbigay-daan sa mga umaatake na may mga pribilehiyo ng administrator na magsagawa ng hindi ligtas na code. Gayunpaman, ang mismong kapintasan ay hindi nagbigay ng mataas na mga pribilehiyo—kinailangan na ng mga umaatake ang admin ng access para samantalahin ito. Na-patch ng ESET ang kahinaan noong Enero 2025, na nag-isyu ng mga update para sa mga produkto ng seguridad ng consumer, negosyo, at server nito sa Windows.

Weaponizing EDRSandBlast: Paano Hindi Pinagana ng TCESB ang Mga Proteksyon sa Seguridad

Ang TCESB ay isang binagong bersyon ng open-source tool na EDRSandBlast. Minamanipula nito ang mga istruktura ng kernel upang hindi paganahin ang mga mekanismo ng seguridad tulad ng mga gawain sa pag-abiso (mga callback), na mga pangunahing pag-andar na nag-aalerto sa mga driver ng system tungkol sa mga kritikal na kaganapan tulad ng paggawa ng proseso o mga pagbabago sa registry.

Upang makamit ito, gumagamit ang TCESB ng isang kilalang Bring Your Own Vulnerable Driver (BYOVD) na pamamaraan, na nag-i-install ng mahinang Dell driver (DBUtilDrv2.sys) sa pamamagitan ng interface ng Device Manager. Ang driver na ito ay apektado ng CVE-2021-36276, isang kahinaan sa pagdami ng pribilehiyo.

Mga Driver ng Dell: Isang Paulit-ulit na Mahinang Link

Hindi ito ang unang pagkakataon na inabuso ang mga driver ng Dell sa mga cyber-attack. Noong 2022, pinagsamantalahan ng Lazarus Group na nauugnay sa North Korea ang isa pang kahinaan ng driver ng Dell (CVE-2021-21551) upang i-disable ang mga mekanismo ng seguridad. Patuloy na ginagamit ng mga umaatake ang mga luma na o mahinang driver para lampasan ang mga hakbang sa seguridad.

Diskarte sa Pagpapatupad ng TCESB

Kapag na-install na ang mahinang driver, patuloy na sinusuri ng TCESB bawat dalawang segundo para sa isang payload file na may partikular na pangalan sa kasalukuyang direktoryo. Kung ang payload ay wala sa simula, ang TCESB ay maghihintay hanggang sa ito ay lumitaw. Ang payload, na naka-encrypt gamit ang AES-128, ay nade-decode at ipapatupad.

Mga Pagtuklas at Pag-iwas

• Upang malabanan ang gayong mga banta, ang mga pangkat ng seguridad ay dapat na:
• Subaybayan ang mga kaganapan sa pag-install ng driver, lalo na ang mga may kinalaman sa mga mahinang driver.
• Panoorin ang kahina-hinalang aktibidad ng pag-debug ng kernel, partikular sa mga system kung saan hindi inaasahan ang pag-debug ng kernel.
• Tiyaking na-update ang lahat ng software ng seguridad, kabilang ang mga patch para sa mga kilalang kahinaan.
• Paghigpitan ang mga pribilehiyo ng administrator upang maiwasan ang mga umaatake sa pagsasamantala sa gayong mga kahinaan.

Habang patuloy na umuunlad ang mga aktor ng cyber threat, ang pananatiling mapagmatyag at pagpapatupad ng mga proactive na hakbang sa seguridad ay mahalaga sa pagtatanggol laban sa mga sopistikadong pag-atake tulad ng ginawa ng ToddyCat.