Asya’daki siber saldırıları ile bilinen Çin’e bağlı bir tehdit oyuncusu, ESET’ten güvenlik yazılımındaki bir güvenlik kusurunun daha önce belgelenmemiş bir kötü amaçlı yazılım sunması gözlemlenmiştir. Tcesb.
“Toddycat saldırılarında daha önce görülmemiş, [TCESB] Kaspersky, bu hafta yayınlanan bir analizde dedi.
Toddycat, Asya’daki birkaç varlığı hedefleyen bir tehdit faaliyet kümesine verilen isimdir ve saldırılar en az Aralık 2020’ye kadar uzanıyor.
Geçen yıl, Rus siber güvenlik satıcısı, Hacking Group’un uzlaşmış ortamlara kalıcı erişimi sürdürmek ve Asya-Pasifik bölgesinde bulunan kuruluşlardan “endüstriyel ölçekte” hasat verilerini sağlamak için çeşitli araçları kullanmasını detaylandırdı.
Kaspersky, 2024’ün başlarında Toddycat ile ilgili olaylarla ilgili soruşturmasının, birden fazla cihazdaki temp dizininde şüpheli bir DLL dosyası (“sürüm.dll”) ortaya çıkardığını söyledi. 64 bit DLL, TCEYB’nin yürütme akışının kontrolünü ele geçirmek için DLL arama sırası kaçırma adı verilen bir teknikle başlatıldığı bulunmuştur.
Bu da, ESET komut satırı tarayıcısındaki bir kusurdan yararlanarak gerçekleştirildiği söylenir, bu da ilk olarak geçerli dizindeki dosyayı kontrol ederek ve ardından sistem dizinlerinde kontrol ederek “sürüm.dll” adlı bir DLL yükler.
Microsoft’tan “C: \ Windows \ System32 \” veya “C: \ Windows \ Syswow64 \” dizinlerinde bulunan “Sürüm.dll” nin meşru bir sürüm kontrolü ve dosya yükleme kütüphanesi olduğuna işaret etmeye değer.
Bu boşluktan yararlanmanın bir sonucu, saldırganların meşru muadilinin aksine “sürüm.dll” nin kötü niyetli sürümlerini yürütebilmeleridir. CVE-2024-11859 (CVSS skoru: 6.8) olarak izlenen güvenlik açığı, sorumlu açıklamanın ardından Ocak 2025’in sonlarında ESET tarafından sabitlenmiştir.
ESET, geçen hafta yayınlanan bir danışmanda, “Güvenlik açığı, yönetici ayrıcalıklarına sahip bir saldırganın kötü niyetli dinamik bağlantı kütüphanesi yüklemesine ve kodunu yürütmesine izin verdi.” Dedi. Diyerek şöyle devam etti: “Bu teknik ayrıcalıkları yükseltmedi – saldırganın zaten bu saldırıyı gerçekleştirmek için yönetici ayrıcalıklarına sahip olması gerekiyordu.”
Hacker News ile paylaşılan bir açıklamada, Slovak Siber Güvenlik Şirketi, Windows işletim sistemi için güvenlik açığını ele almak için tüketici, iş ve sunucu güvenlik ürünlerinin sabit yapılarını yayınladığını söyledi.
TCESB, kendi adına, sürücülerin süreç oluşturma veya bir kayıt defteri anahtarı ayarlaması gibi belirli olaylardan haberdar edilmesine izin vermek için tasarlanmış bildirim rutinlerini (diğer adıyla geri arama) devre dışı bırakmak için işletim sistemi çekirdeği yapılarını değiştirmek için özellikler içeren EDRSandBlast adlı bir açık kaynaklı aracın değiştirilmiş bir versiyonudur.
Bunu çıkarmak için TCEYB, Kendi Savunmasız Sürücünüzü (BYOVD) olarak adlandırılan bilinen bir başka tekniği, savunmasız bir sürücü olan bir Dell dbutildrv2.sys sürücüsünü, cihaz yöneticisi arayüzü aracılığıyla sistemde yüklemek için kullanır. Dbutildrv2.sys sürücüsü, CVE-2021-36276 olarak izlenen bilinen bir ayrıcalık artış kusuruna duyarlıdır.
Bu, ilk Dell sürücülerinin kötü niyetli amaçlarla istismar edildiği ilk değil. 2022’de, başka bir Dell sürücüsü Dbutil_2_3.sys’teki benzer bir ayrıcalık artış kırılganlığı (CVE-2021-21551), güvenlik mekanizmalarını kapatmak için Kuzey Kore bağlantılı Lazarus Grubu tarafından BYOVD saldırılarının bir parçası olarak da sömürüldü.
Kaspersky araştırmacısı Andrey Gunkin, “Sistemde savunmasız sürücü yüklendikten sonra TCESB, mevcut dizinde belirli bir adla bir yük dosyasının varlığı için her iki saniyede bir kontrol ettiği bir döngü çalıştırıyor – yük aracı başlatma sırasında mevcut olmayabilir.” Dedi.
Yük artefaktlarının kendileri kullanılamaz olsa da, daha fazla analiz, AES-128 kullanılarak şifrelendiklerini ve belirtilen yolda göründükleri anda kod çözüldüklerini ve yürütüldüklerini belirlemiştir.
Kaspersky, “Bu tür araçların etkinliğini tespit etmek için, bilinen güvenlik açıklarına sahip sürücüleri içeren kurulum olayları için sistemlerin izlenmesi önerilir.” Dedi. Diyerek şöyle devam etti: “Ayrıca, işletim sistemi çekirdeğinin hata ayıklanmasının beklenmediği cihazlarda Windows çekirdeği hata ayıklama sembollerini yükleme ile ilgili olayları izlemeye değer.”