Ce s-a intamplat?

Aceasta campanie subliniază necesitatea unei vigilențe sporite și a implementării prompte a măsurilor de securitate pentru a contracara amenințările evolutive.Analiza tehnică relevă că TCESB (precedent nemaiîntâlnit în atacurile ToddyCat) este conceput pentru execuția stealth a sarcinilor utile, eludând instrumentele de protecție și monitorizare implementate la nivelul endpoint-ului. Vectorul de atac implică exploatarea CVE-2024-11859, o vulnerabilitate în ESET Command Line Scanner care permite atacatorilor cu privilegii de administrator să încarce și să execute o bibliotecă DLL malițioasă ("version.dll") prin tehnica DLL Search Order Hijacking. Această acțiune subminează integritatea procesului de execuție și facilitează infiltrarea malware-ului.

Mai mult, TCESB demonstrează capacități avansate de persistență și de ocolire a mecanismelor de detecție. Malware-ul utilizează tehnica "Bring Your Own Vulnerable Driver" (BYOVD) pentru a instala un driver Dell vulnerabil (DBUtilDrv2.sys), exploatând CVE-2021-36276 pentru a obține privilegii sporite în sistem. Ulterior, TCESB monitorizează activ sistemul pentru apariția unui payload criptat AES-128, pe care îl decriptează și execută, extinzând astfel impactul atacului.

Măsuri Esențiale de Protecție:

1.Implementarea promptă a patch-urilor de securitate: Asigurați-vă că toate produsele ESET sunt actualizate la cele mai recente versiuni pentru a remedia vulnerabilitatea CVE-2024-11859.

2.Monitorizarea comportamentului sistemelor: Implementați soluții de monitorizare a endpoint-urilor (EDR) pentru a detecta activități suspecte, inclusiv încărcarea neautorizată de DLL-uri și manipularea driverelor.

3.Inventarierea și monitorizarea driverelor: Identificați și monitorizați driverele instalate în sistem, căutând versiuni vulnerabile sau semnături neobișnuite.

4.Implementarea principiului celui mai mic privilegiu: Limitați drepturile de administrator la strictul necesar și monitorizați conturile cu privilegii ridicate.

5.Analiza traficului de rețea: Monitorizați traficul de rețea pentru conexiuni suspecte sau către infrastructuri de comandă și control necunoscute.

6.Securizarea procesului de instalare software: Restricționați sursele de instalare software și monitorizați modificările neautorizate ale fișierelor de sistem.

7.Educarea personalului: Conștientizați angajații cu privire la riscurile asociate descărcării și executării de fișiere din surse neverificate și la importanța raportării oricărui comportament suspect al sistemului.

Pentru informații suplimentare și analize detaliate privind amenințările cibernetice actuale, vă invităm să vizitați SigurantaPeNet.ro.

Sursa