Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) TCESB-Malware

TCESB-Malware

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:
Deutsch

Ein mit China verbundener Bedrohungsakteur, der für seine Cyberangriffe in ganz Asien bekannt ist, nutzte eine Schwachstelle in der ESET-Sicherheitssoftware aus, um eine bisher undokumentierte Schadsoftware mit dem Codenamen TCESB zu verbreiten. Diese neu entdeckte Schadsoftware ist darauf ausgelegt, Sicherheitsmaßnahmen zu umgehen und unbemerkt Schadprogramme auszuführen.

ToddyCat: Eine anhaltende Bedrohung in Asien

ToddyCat, eine hochentwickelte Bedrohungsgruppe, ist seit mindestens Dezember 2020 aktiv und hat es auf mehrere Unternehmen in Asien abgesehen. Jüngste Untersuchungen ihrer Aktivitäten ergaben, dass sie verschiedene Tools einsetzen, um dauerhaften Zugriff auf kompromittierte Systeme zu erhalten und riesige Datenmengen von Organisationen im asiatisch-pazifischen Raum zu sammeln.

Ausnutzung des Fehlers: Die DLL-Hijacking-Technik

Sicherheitsforscher, die Anfang 2024 Vorfälle im Zusammenhang mit ToddyCat untersuchten, entdeckten die verdächtige DLL-Datei „version.dll“ im Temp-Verzeichnis mehrerer kompromittierter Geräte. Diese Datei mit der Bezeichnung TCESB wurde mithilfe der DLL Search Order Hijacking-Methode bereitgestellt. Diese ermöglicht es Angreifern, die Programmausführung durch Ersetzen legitimer DLL-Dateien zu steuern.

Der Angriff nutzt eine Schwachstelle im ESET Command Line Scanner aus, die die Datei „version.dll“ unsicher lädt. Anstatt die legitime Version aus den Systemverzeichnissen zu laden, prüft der Scanner zunächst das aktuelle Verzeichnis. So haben Angreifer die Möglichkeit, ihre eigene schädliche DLL einzuschleusen.

CVE-2024-11859: Die ausgenutzte Schwachstelle

Diese Sicherheitslücke mit der Bezeichnung CVE-2024-11859 (CVSS-Score: 6,8) ermöglichte es Angreifern mit Administratorrechten, unsicheren Code auszuführen. Die Schwachstelle selbst gewährte jedoch keine erhöhten Rechte – Angreifer benötigten bereits Administratorzugriff, um sie auszunutzen. ESET schloss die Schwachstelle im Januar 2025 mit Updates für seine Sicherheitsprodukte für Privatkunden, Unternehmen und Server unter Windows.

EDRSandBlast als Waffe: Wie TCESB Sicherheitsvorkehrungen außer Kraft setzt

TCESB ist eine modifizierte Version des Open-Source-Tools EDRSandBlast. Es manipuliert Kernel-Strukturen, um Sicherheitsmechanismen wie Benachrichtigungsroutinen (Callbacks) zu deaktivieren. Diese Schlüsselfunktionen informieren Systemtreiber über kritische Ereignisse wie die Erstellung von Prozessen oder Registrierungsänderungen.

Um dies zu erreichen, setzt TCESB eine bekannte BYOVD-Technik (Bring Your Own Vulnerable Driver) ein und installiert einen anfälligen Dell-Treiber (DBUtilDrv2.sys) über die Geräte-Manager-Oberfläche. Dieser Treiber ist von CVE-2021-36276 betroffen, einer Sicherheitslücke zur Rechteausweitung.

Dell-Treiber: Ein immer wiederkehrendes schwaches Glied

Dies ist nicht das erste Mal, dass Dell-Treiber für Cyberangriffe missbraucht wurden. Im Jahr 2022 nutzte die mit Nordkorea verbundene Lazarus Group eine weitere Dell-Treiber-Sicherheitslücke (CVE-2021-21551), um Sicherheitsmechanismen zu deaktivieren. Angreifer nutzen weiterhin veraltete oder anfällige Treiber, um Sicherheitsmaßnahmen zu umgehen.

Ausführungsstrategie des TCESB

Sobald der anfällige Treiber installiert ist, prüft TCESB kontinuierlich alle zwei Sekunden, ob im aktuellen Verzeichnis eine Nutzlastdatei mit einem bestimmten Namen vorhanden ist. Ist die Nutzlast zunächst nicht vorhanden, wartet TCESB, bis sie erscheint. Anschließend wird die mit AES-128 verschlüsselte Nutzlast dekodiert und ausgeführt.

Erkennungs- und Präventionsmaßnahmen

  • Um solchen Bedrohungen entgegenzuwirken, sollten Sicherheitsteams:
  • Überwachen Sie Treiberinstallationsereignisse, insbesondere solche, die anfällige Treiber betreffen.
  • Achten Sie auf verdächtige Kernel-Debugging-Aktivitäten, insbesondere auf Systemen, auf denen kein Kernel-Debugging erwartet wird.
  • Stellen Sie sicher, dass die gesamte Sicherheitssoftware aktualisiert ist, einschließlich Patches für bekannte Schwachstellen.
  • Schränken Sie die Administratorrechte ein, um zu verhindern, dass Angreifer solche Schwachstellen ausnutzen.

Da sich die Akteure der Cyberbedrohung ständig weiterentwickeln, ist es für die Verteidigung gegen ausgeklügelte Angriffe wie die von ToddyCat von entscheidender Bedeutung, wachsam zu bleiben und proaktive Sicherheitsmaßnahmen zu ergreifen.

Im Trend

Am häufigsten gesehen

Wird geladen...