Un attore minaccioso affiliato alla Cina, noto per i suoi attacchi informatici in Asia, è stato osservato sfruttare una falla di sicurezza nel software di sicurezza di ESET per distribuire un malware precedentemente non documentato con il nome in codice TCESB.
"Mai visto prima negli attacchi di ToddyCat, [TCESB] è progettato per eseguire furtivamente i payload aggirando gli strumenti di protezione e monitoraggio installati sul dispositivo", ha affermato Kaspersky in un'analisi pubblicata questa settimana.
ToddyCat è il nome dato a un gruppo di attività minacciose che ha preso di mira diverse entità in Asia, con attacchi che risalgono almeno al dicembre 2020.
Lo scorso anno, il fornitore russo di sicurezza informatica ha dettagliato l'uso da parte del gruppo di hacker di vari strumenti per mantenere l'accesso persistente agli ambienti compromessi e raccogliere dati su "scala industriale" dalle organizzazioni situate nella regione Asia-Pacifico.
Kaspersky ha dichiarato che la sua indagine sugli incidenti legati a ToddyCat all'inizio del 2024 ha portato alla luce un file DLL sospetto (“version.dll”) nella directory Temp su diversi dispositivi. Si è scoperto che la DLL a 64 bit, TCESB, è stata lanciata tramite una tecnica chiamata DLL Search Order Hijacking per prendere il controllo del flusso di esecuzione.
Questo, a sua volta, sarebbe stato realizzato sfruttando un difetto di ESET Command Line Scanner, che carica in modo insicuro una DLL denominata “version.dll” verificando prima la presenza del file nella directory corrente e poi la sua presenza nelle directory di sistema.
A questo punto è bene sottolineare che “version.dll” è una libreria legittima di Microsoft per il controllo della versione e l'installazione dei file, che risiede nelle directory “C:\Windows\system32” o “C:\Windows\SysWOW64”.
Sfruttando questa falla, gli aggressori potrebbero eseguire la loro versione dannosa di “version.dll” anziché la sua controparte legittima. La vulnerabilità, classificata come CVE-2024-11859 (punteggio CVSS: 6,8), è stata risolta da ESET alla fine di gennaio 2025 dopo la divulgazione responsabile.
Malware TCESB
“La vulnerabilità permetteva potenzialmente a un aggressore con privilegi di amministratore di caricare una libreria dynamic-link dannosa e di eseguirne il codice”, ha dichiarato ESET in un avviso pubblicato la scorsa settimana. “Questa tecnica, tuttavia, non elevava i privilegi: l'attaccante avrebbe già dovuto disporre dei privilegi di amministratore per eseguire questo attacco”.
In una dichiarazione condivisa con The Hacker News, l'azienda slovacca di cybersicurezza ha dichiarato di aver rilasciato build corrette dei suoi prodotti di sicurezza per consumatori, aziende e server per il sistema operativo Windows per risolvere la vulnerabilità.
TCESB, da parte sua, è una versione modificata di uno strumento open-source chiamato EDRSandBlast che include funzioni per alterare le strutture del kernel del sistema operativo per disabilitare le routine di notifica (alias callback), che sono progettate per consentire ai driver di essere notificati di eventi specifici, come la creazione di un processo o l'impostazione di una chiave di registro.
Sicurezza informatica
Per riuscirci, TCESB sfrutta un'altra tecnica nota come “bring your own vulnerable driver” (BYOVD) per installare un driver vulnerabile, un driver Dell DBUtilDrv2.sys, nel sistema attraverso l'interfaccia di Gestione periferiche. Il driver DBUtilDrv2.sys è soggetto a una falla nota per l'escalation dei privilegi, classificata come CVE-2021-36276.
Questa non è la prima volta che i driver Dell vengono abusati per scopi dannosi. Nel 2022, una vulnerabilità simile di privilege escalation (CVE-2021-21551) in un altro driver Dell, dbutil_2_3.sys, è stata sfruttata come parte di attacchi BYOVD dal gruppo Lazarus, legato alla Corea del Nord, per disattivare i meccanismi di sicurezza.
Una volta che il driver vulnerabile è installato nel sistema, TCESB esegue un ciclo in cui controlla ogni due secondi la presenza di un file di payload con un nome specifico nella directory corrente - il payload potrebbe non essere presente al momento del lancio dello strumento", ha detto il ricercatore di Kaspersky Andrey Gunkin.
Sebbene gli artefatti del payload stessi non siano disponibili, ulteriori analisi hanno determinato che sono crittografati utilizzando AES-128 e che vengono decodificati ed eseguiti non appena compaiono nel percorso specificato.
"Per rilevare l'attività di tali strumenti, si consiglia di monitorare i sistemi per eventi di installazione che coinvolgono driver con vulnerabilità note", ha affermato Kaspersky. "Vale anche la pena monitorare gli eventi associati al caricamento dei simboli di debug del kernel di Windows su dispositivi in cui il debug del kernel del sistema operativo non è previsto."
Nessun commento:
Posta un commento