Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) TCESB Kötü Amaçlı Yazılım

TCESB Kötü Amaçlı Yazılım

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:
Türkçe

Asya genelindeki siber saldırılarıyla bilinen Çin bağlantılı bir tehdit aktörü, ESET güvenlik yazılımındaki bir güvenlik açığını kullanarak daha önce belgelenmemiş bir kötü amaçlı yazılım olan TCESB'yi dağıtırken gözlemlendi. Yeni keşfedilen bu kötü amaçlı yazılım, güvenlik önlemlerini atlatmak ve algılanmadan yükleri yürütmek üzere tasarlanmıştır.

ToddyCat: Asya’da Kalıcı Bir Tehdit

Gelişmiş bir tehdit grubu olan ToddyCat, en azından Aralık 2020'den beri Asya'daki birden fazla kuruluşu hedef alarak aktiftir. Faaliyetlerine yönelik son araştırmalar, tehlikeye atılmış sistemlere sürekli erişim sağlamak ve Asya-Pasifik bölgesindeki kuruluşlardan büyük miktarda veri toplamak için çeşitli araçlar kullandıklarını ortaya koymuştur.

Kusurun İstismarı: DLL Kaçırma Tekniği

2024'ün başlarında ToddyCat ile ilgili olayları araştıran güvenlik araştırmacıları, birden fazla tehlikeye atılmış cihazın geçici dizininde şüpheli bir DLL dosyası olan 'version.dll'yi keşfetti. TCESB olarak tanımlanan bu dosya, saldırganların meşru DLL dosyalarını değiştirerek program yürütmeyi kontrol etmelerine olanak tanıyan DLL Arama Sırası Ele Geçirme kullanılarak dağıtıldı.

Saldırı, 'version.dll' dosyasını güvenli olmayan bir şekilde yükleyen ESET Komut Satırı Tarayıcısındaki bir kusurdan yararlanıyor. Sistem dizinlerinden meşru sürümü yüklemek yerine, önce geçerli dizini kontrol ediyor ve saldırganlara kendi kötü amaçlı DLL'lerini tanıtma fırsatı veriyor.

CVE-2024-11859: İstismar Edilen Güvenlik Açığı

CVE-2024-11859 (CVSS puanı: 6.8) olarak izlenen bu güvenlik açığı, yönetici ayrıcalıklarına sahip saldırganların güvenli olmayan kod yürütmesine olanak sağladı. Ancak, kusurun kendisi yükseltilmiş ayrıcalıklar sağlamadı; saldırganların bunu istismar etmek için zaten yönetici erişimine ihtiyacı vardı. ESET, Ocak 2025'te Windows'taki tüketici, iş ve sunucu güvenlik ürünleri için güncellemeler yayınlayarak güvenlik açığını düzeltti.

EDRSandBlast’ı Silahlandırmak: TCESB Güvenlik Korumalarını Nasıl Devre Dışı Bırakıyor

TCESB, açık kaynaklı araç EDRSandBlast'ın değiştirilmiş bir sürümüdür. Çekirdek yapılarını, işlem oluşturma veya kayıt defteri değişiklikleri gibi kritik olaylar hakkında sistem sürücülerini uyaran temel işlevler olan bildirim rutinleri (geri aramalar) gibi güvenlik mekanizmalarını devre dışı bırakmak için manipüle eder.

Bunu başarmak için TCESB, Aygıt Yöneticisi arayüzü aracılığıyla savunmasız bir Dell sürücüsü (DBUtilDrv2.sys) yükleyerek iyi bilinen bir Bring Your Own Vulnerable Driver (BYOVD) tekniğini kullanır. Bu sürücü, ayrıcalık yükseltme güvenlik açığı olan CVE-2021-36276'dan etkilenmektedir.

Dell Sürücüleri: Tekrar Eden Zayıf Bir Bağlantı

Bu, Dell sürücülerinin siber saldırılarda kötüye kullanılmasının ilk örneği değil. 2022'de Kuzey Kore bağlantılı Lazarus Group, güvenlik mekanizmalarını devre dışı bırakmak için başka bir Dell sürücü açığını (CVE-2021-21551) kullandı. Saldırganlar, güvenlik önlemlerini atlatmak için güncel olmayan veya savunmasız sürücülerden yararlanmaya devam ediyor.

TCESB’nin Uygulama Stratejisi

Güvenlik açığı bulunan sürücü yüklendikten sonra, TCESB her iki saniyede bir geçerli dizinde belirli bir ada sahip bir yük dosyası olup olmadığını sürekli olarak kontrol eder. Yük başlangıçta mevcut değilse, TCESB görünene kadar bekler. AES-128 kullanılarak şifrelenen yük daha sonra çözülür ve yürütülür.

Tespit ve Önleme Tedbirleri

  • Bu tür tehditlere karşı koymak için güvenlik ekipleri şunları yapmalıdır:
  • Özellikle savunmasız sürücüleri içeren sürücü kurulum olaylarını izleyin.
  • Özellikle çekirdek hata ayıklamasının beklenmediği sistemlerde şüpheli çekirdek hata ayıklama etkinliğine dikkat edin.
  • Bilinen güvenlik açıklarına yönelik yamalar da dahil olmak üzere tüm güvenlik yazılımlarının güncel olduğundan emin olun.
  • Saldırganların bu tür güvenlik açıklarından faydalanmasını önlemek için yönetici ayrıcalıklarını kısıtlayın.

Siber tehdit aktörleri evrim geçirmeye devam ettikçe, ToddyCat tarafından gerçekleştirilenler gibi karmaşık saldırılara karşı savunmada tetikte kalmak ve proaktif güvenlik önlemleri uygulamak hayati önem taşıyor.

trend

VoxFlowG USDT Airdrop E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Kripto paranın yükselişiyle birlikte dolandırıcılar, kullanıcıları dijital varlıklarını vermeleri için kandırmak amacıyla giderek daha aldatıcı taktikler geliştirdiler. Bu tür dolandırıcılık planlarından biri, ücretsiz Tether (USDT) vaat ederek şüphelenmeyen kişileri avlayan VoxFlowG USDT Airdrop e-posta dolandırıcılığıdır. Bu taktik, kurbanların kripto para cüzdanlarından para toplamak için...

En çok görüntülenen

Yükleniyor...