Шкідливе програмне забезпечення TCESB
Було помічено, що пов’язаний з Китаєм загрозливий суб’єкт, відомий своїми кібератаками по всій Азії, використовує вразливість у програмному забезпеченні безпеки ESET для доставки раніше незадокументованого шкідливого програмного забезпечення під кодовою назвою TCESB. Це нещодавно виявлене зловмисне програмне забезпечення призначене для обходу заходів безпеки та непоміченого виконання корисних навантажень.
Зміст
ToddyCat: постійна загроза в Азії
ToddyCat, передова група загроз, активно працює щонайменше з грудня 2020 року, націлюючись на численні організації в Азії. Нещодавні розслідування їх діяльності виявили використання ними різних інструментів для підтримки постійного доступу до скомпрометованих систем і збору величезних обсягів даних від організацій в Азіатсько-Тихоокеанському регіоні.
Експлуатація недоліку: Техніка викрадення DLL
Дослідники безпеки, які розслідували інциденти, пов’язані з ToddyCat, на початку 2024 року виявили підозрілий файл DLL «version.dll» у тимчасовому каталозі кількох скомпрометованих пристроїв. Цей файл, ідентифікований як TCESB, було розгорнуто за допомогою DLL Search Order Hijacking, що дозволяє зловмисникам контролювати виконання програми шляхом заміни законних файлів DLL.
Атака використовує недолік у сканері командного рядка ESET, який небезпечно завантажує файл «version.dll». Замість того, щоб завантажувати легітимну версію із системних каталогів, він спочатку перевіряє поточний каталог, даючи зловмисникам можливість запровадити власну шкідливу DLL.
CVE-2024-11859: використана вразливість
Ця вразливість, відстежувана як CVE-2024-11859 (оцінка CVSS: 6,8), дозволяла зловмисникам із правами адміністратора виконувати небезпечний код. Однак сама вада не надала підвищених привілеїв — зловмисникам уже потрібен був доступ адміністратора, щоб використовувати її. ESET виправила вразливість у січні 2025 року, випустивши оновлення для своїх споживчих, корпоративних і серверних продуктів безпеки в Windows.
Weaponizing EDRSandBlast: Як TCESB вимикає захист безпеки
TCESB — це модифікована версія інструменту з відкритим кодом EDRSandBlast. Він маніпулює структурами ядра, щоб вимкнути механізми безпеки, такі як підпрограми сповіщень (зворотні виклики), які є ключовими функціями, які сповіщають системні драйвери про критичні події, такі як створення процесу або зміни реєстру.
Щоб досягти цього, TCESB використовує добре відому техніку Bring Your Own Vulnerable Driver (BYOVD), інсталюючи вразливий драйвер Dell (DBUtilDrv2.sys) через інтерфейс диспетчера пристроїв. Цей драйвер уражений CVE-2021-36276, уразливістю підвищення привілеїв.
Драйвери Dell: постійна слабка ланка
Це не перший випадок, коли драйвери Dell піддаються кібератакам. У 2022 році Lazarus Group, пов’язана з Північною Кореєю, використала ще одну вразливість драйвера Dell (CVE-2021-21551), щоб відключити механізми безпеки. Зловмисники продовжують використовувати застарілі або вразливі драйвери, щоб обійти заходи безпеки.
Стратегія виконання TCESB
Після встановлення вразливого драйвера TCESB постійно перевіряє кожні дві секунди наявність файлу корисного навантаження з певною назвою в поточному каталозі. Якщо корисного навантаження спочатку немає, TCESB чекає, доки воно з’явиться. Корисне навантаження, зашифроване за допомогою AES-128, потім декодується та виконується.
Заходи виявлення та запобігання
- Щоб протистояти таким загрозам, служби безпеки повинні:
- Слідкуйте за подіями встановлення драйверів, особливо тих, що стосуються вразливих драйверів.
- Слідкуйте за підозрілою активністю налагодження ядра, особливо в системах, де не очікується налагодження ядра.
- Переконайтеся, що все програмне забезпечення безпеки оновлено, включаючи виправлення для відомих уразливостей.
- Обмежте права адміністратора, щоб зловмисники не могли використовувати такі вразливості.
Оскільки суб’єкти кіберзагроз продовжують розвиватися, пильність і впровадження профілактичних заходів безпеки є вирішальними для захисту від складних атак, подібних до тих, які здійснює ToddyCat.
