Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Logiciel malveillant TCESB

Logiciel malveillant TCESB

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :
Français

Un acteur malveillant affilié à la Chine, connu pour ses cyberattaques en Asie, a été observé en train d'exploiter une vulnérabilité du logiciel de sécurité ESET pour diffuser un malware jusqu'alors inconnu, nommé TCESB. Ce malware récemment découvert est conçu pour contourner les mesures de sécurité et exécuter des charges utiles sans être détecté.

ToddyCat : une menace persistante en Asie

ToddyCat, un groupe de cybercriminels avancés, est actif depuis au moins décembre 2020 et cible plusieurs entités en Asie. Des enquêtes récentes sur ses activités ont révélé qu'il utilisait divers outils pour maintenir un accès permanent aux systèmes compromis et collecter de vastes quantités de données auprès d'organisations de la région Asie-Pacifique.

Exploiter la faille : la technique de détournement de DLL

Début 2024, des chercheurs en sécurité enquêtant sur des incidents liés à ToddyCat ont découvert un fichier DLL suspect, « version.dll », dans le répertoire temporaire de plusieurs appareils compromis. Ce fichier, identifié comme TCESB, a été déployé à l'aide du détournement d'ordre de recherche de DLL, qui permet aux attaquants de contrôler l'exécution des programmes en remplaçant des fichiers DLL légitimes.

L'attaque exploite une faille dans l'analyseur de ligne de commande d'ESET, qui charge de manière non sécurisée le fichier « version.dll ». Au lieu de charger la version légitime depuis les répertoires système, il vérifie d'abord le répertoire courant, offrant ainsi aux attaquants la possibilité d'introduire leur propre DLL malveillante.

CVE-2024-11859 : la vulnérabilité exploitée

Cette vulnérabilité, identifiée comme CVE-2024-11859 (score CVSS : 6,8), permettait aux attaquants disposant de privilèges d'administrateur d'exécuter du code non sécurisé. Cependant, la faille elle-même n'accordait pas de privilèges élevés : les attaquants avaient déjà besoin d'un accès administrateur pour l'exploiter. ESET a corrigé la vulnérabilité en janvier 2025, en publiant des mises à jour pour ses produits de sécurité grand public, professionnels et serveurs sous Windows.

Armement d’EDRSandBlast : comment le TCESB désactive les protections de sécurité

TCESB est une version modifiée de l'outil open source EDRSandBlast. Il manipule les structures du noyau pour désactiver les mécanismes de sécurité tels que les routines de notification (callbacks), fonctions clés qui alertent les pilotes système d'événements critiques comme la création de processus ou les modifications du registre.

Pour ce faire, TCESB utilise une technique bien connue : Bring Your Own Vulnerable Driver (BYOVD), en installant un pilote Dell vulnérable (DBUtilDrv2.sys) via l'interface du Gestionnaire de périphériques. Ce pilote est affecté par la vulnérabilité CVE-2021-36276, une vulnérabilité d'élévation de privilèges.

Pilotes Dell : un maillon faible récurrent

Ce n'est pas la première fois que des pilotes Dell sont victimes de cyberattaques. En 2022, le groupe Lazarus, lié à la Corée du Nord, a exploité une autre vulnérabilité de pilote Dell (CVE-2021-21551) pour désactiver les mécanismes de sécurité. Les attaquants continuent d'exploiter des pilotes obsolètes ou vulnérables pour contourner les mesures de sécurité.

Stratégie d’exécution du TCESB

Une fois le pilote vulnérable installé, TCESB vérifie en continu toutes les deux secondes la présence d'un fichier de charge utile portant un nom spécifique dans le répertoire courant. Si la charge utile n'est pas présente initialement, TCESB attend son apparition. La charge utile, chiffrée en AES-128, est ensuite décodée et exécutée.

Mesures de détection et de prévention

  • Pour contrer de telles menaces, les équipes de sécurité doivent :
  • Surveillez les événements d’installation des pilotes, en particulier ceux impliquant des pilotes vulnérables.
  • Soyez attentif aux activités suspectes de débogage du noyau, en particulier sur les systèmes où le débogage du noyau n’est pas attendu.
  • Assurez-vous que tous les logiciels de sécurité sont mis à jour, y compris les correctifs pour les vulnérabilités connues.
  • Limitez les privilèges d’administrateur pour empêcher les attaquants d’exploiter ces vulnérabilités.

Alors que les acteurs de la cybermenace continuent d’évoluer, il est essentiel de rester vigilant et de mettre en œuvre des mesures de sécurité proactives pour se défendre contre des attaques sophistiquées comme celles menées par ToddyCat.

Tendance

Arnaque par e-mail concernant le largage aérien USDT...

Hameçonnage, Courrier indésirable
Avec l'essor des cryptomonnaies, les fraudeurs ont développé des tactiques de plus en plus trompeuses pour inciter les utilisateurs à céder leurs actifs numériques. L'escroquerie par e-mail VoxFlowG USDT Airdrop est l'une de ces arnaques. Elle cible des individus peu méfiants en leur promettant des Tether (USDT) gratuits. Cette tactique vise à collecter des fonds sur les portefeuilles de...

Le plus regardé

Chargement...