Phần mềm độc hại TCESB

Một tác nhân đe dọa có liên quan đến Trung Quốc được biết đến với các cuộc tấn công mạng trên khắp Châu Á đã bị phát hiện khai thác lỗ hổng trong phần mềm bảo mật ESET để phát tán phần mềm độc hại chưa từng được ghi nhận trước đây, có tên mã là TCESB. Phần mềm độc hại mới được phát hiện này được thiết kế để vượt qua các biện pháp bảo mật và thực hiện các tải trọng mà không bị phát hiện.

ToddyCat: Mối đe dọa dai dẳng ở Châu Á

ToddyCat, một nhóm đe dọa tiên tiến, đã hoạt động ít nhất từ tháng 12 năm 2020, nhắm vào nhiều thực thể ở Châu Á. Các cuộc điều tra gần đây về hoạt động của nhóm này cho thấy nhóm này sử dụng nhiều công cụ khác nhau để duy trì quyền truy cập liên tục vào các hệ thống bị xâm phạm và thu thập lượng lớn dữ liệu từ các tổ chức ở khu vực Châu Á - Thái Bình Dương.

Khai thác lỗ hổng: Kỹ thuật chiếm quyền điều khiển DLL

Các nhà nghiên cứu bảo mật điều tra các sự cố liên quan đến ToddyCat vào đầu năm 2024 đã phát hiện ra một tệp DLL đáng ngờ, 'version.dll', trong thư mục tạm thời của nhiều thiết bị bị xâm phạm. Tệp này, được xác định là TCESB, được triển khai bằng cách sử dụng DLL Search Order Hijacking, cho phép kẻ tấn công kiểm soát việc thực thi chương trình bằng cách thay thế các tệp DLL hợp lệ.

Cuộc tấn công này lợi dụng một lỗ hổng trong ESET's Command Line Scanner, lỗ hổng này tải tệp 'version.dll' một cách không an toàn. Thay vì tải phiên bản hợp lệ từ các thư mục hệ thống, trước tiên nó sẽ kiểm tra thư mục hiện tại, tạo cơ hội cho kẻ tấn công đưa DLL độc hại của riêng chúng vào.

CVE-2024-11859: Lỗ hổng bị khai thác

Lỗ hổng này được theo dõi là CVE-2024-11859 (điểm CVSS: 6.8), cho phép kẻ tấn công có quyền quản trị viên thực thi mã không an toàn. Tuy nhiên, bản thân lỗ hổng không cấp quyền nâng cao—kẻ tấn công đã cần quyền quản trị để khai thác nó. ESET đã vá lỗ hổng vào tháng 1 năm 2025, phát hành bản cập nhật cho các sản phẩm bảo mật dành cho người tiêu dùng, doanh nghiệp và máy chủ trên Windows.

Vũ khí hóa EDRSandBlast: Cách TCESB vô hiệu hóa bảo vệ an ninh

TCESB là phiên bản sửa đổi của công cụ nguồn mở EDRSandBlast. Công cụ này thao túng các cấu trúc hạt nhân để vô hiệu hóa các cơ chế bảo mật như các thói quen thông báo (gọi lại), là các chức năng chính cảnh báo trình điều khiển hệ thống về các sự kiện quan trọng như tạo quy trình hoặc thay đổi sổ đăng ký.

Để đạt được điều này, TCESB sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) nổi tiếng, cài đặt trình điều khiển Dell dễ bị tấn công (DBUtilDrv2.sys) thông qua giao diện Device Manager. Trình điều khiển này bị ảnh hưởng bởi CVE-2021-36276, một lỗ hổng leo thang đặc quyền.

Trình điều khiển Dell: Một liên kết yếu thường xuyên

Đây không phải là lần đầu tiên trình điều khiển Dell bị lạm dụng trong các cuộc tấn công mạng. Vào năm 2022, Nhóm Lazarus có liên hệ với Triều Tiên đã khai thác một lỗ hổng trình điều khiển Dell khác (CVE-2021-21551) để vô hiệu hóa các cơ chế bảo mật. Những kẻ tấn công tiếp tục lợi dụng các trình điều khiển lỗi thời hoặc dễ bị tấn công để vượt qua các biện pháp bảo mật.

Chiến lược thực hiện của TCESB

Sau khi trình điều khiển dễ bị tấn công được cài đặt, TCESB liên tục kiểm tra cứ sau hai giây để tìm tệp tải trọng có tên cụ thể trong thư mục hiện tại. Nếu tải trọng không có mặt ngay từ đầu, TCESB sẽ đợi cho đến khi nó xuất hiện. Tải trọng, được mã hóa bằng AES-128, sau đó được giải mã và thực thi.

Biện pháp phát hiện và phòng ngừa

• Để chống lại các mối đe dọa như vậy, các nhóm an ninh nên:
• Theo dõi các sự kiện cài đặt trình điều khiển, đặc biệt là những sự kiện liên quan đến trình điều khiển dễ bị tấn công.
• Hãy chú ý đến hoạt động gỡ lỗi hạt nhân đáng ngờ, đặc biệt là trên các hệ thống không mong đợi hoạt động gỡ lỗi hạt nhân.
• Đảm bảo tất cả phần mềm bảo mật đều được cập nhật, bao gồm các bản vá cho các lỗ hổng đã biết.
• Hạn chế quyền của quản trị viên để ngăn chặn kẻ tấn công khai thác những lỗ hổng như vậy.

Khi các tác nhân đe dọa mạng tiếp tục phát triển, việc luôn cảnh giác và triển khai các biện pháp bảo mật chủ động là rất quan trọng để phòng thủ trước các cuộc tấn công tinh vi như những cuộc tấn công do ToddyCat thực hiện.