Mã độc mới TCESB lợi dụng lỗ hổng ESET để tấn công hệ thống

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
94
746 bài viết
Mã độc mới TCESB lợi dụng lỗ hổng ESET để tấn công hệ thống
WhiteHat Team
Một nhóm tin tặc có liên quan đến Trung Quốc đã bị phát hiện khai thác lỗ hổng CVE-2024-11859 (CVSS 6.8) trong phần mềm bảo mật ESET nhằm phát tán mã độc mới có tên TCESB. Loại mã độc này được thiết kế để lén lút thực thi payload và vượt qua các cơ chế giám sát, bảo vệ hệ thống.

1744363681800.png

Kỹ thuật tấn công được sử dụng là DLL Search Order Hijacking, trong đó TCESB đánh lừa ESET Command Line Scanner để tải một phiên bản version.dll độc hại thay vì thư viện hợp pháp của Microsoft.

Lỗ hổng này cho phép kẻ tấn công có quyền quản trị cài đặt và thực thi mã độc thông qua DLL giả mạo.

TCESB – Mã độc tinh vi tấn công cấp kernel: TCESB là một biến thể tùy chỉnh của công cụ mã nguồn mở EDRSandBlast, với khả năng can thiệp sâu vào hệ thống:
  • Vô hiệu hóa các callback kernel – các cơ chế được sử dụng để giám sát sự kiện hệ thống như tạo tiến trình hoặc chỉnh sửa registry.
  • Ẩn mình khỏi các công cụ EDR/AV – tăng độ khó trong việc phát hiện và phân tích.
Cơ chế hoạt động của TCESB: Sau khi driver dễ bị tổn thương được cài đặt
  • TCESB chạy vòng lặp liên tục mỗi 2 giây để kiểm tra sự tồn tại của file payload.
  • Nếu phát hiện, payload sẽ được giải mã bằng AES-128 và thực thi ngay lập tức.
  • Payload được đặt trong cùng thư mục với công cụ, tên file do mã định sẵn – nhưng các mẫu payload hiện chưa được thu thập và phân tích chi tiết.
Khuyến nghị từ các chuyên gia:
  • Cập nhật bản vá mới nhất từ ESET
  • Giới hạn quyền truy cập admin để ngăn chặn việc chạy DLL trái phép
  • Kiểm tra các thư mục tạm và thư mục ứng dụng để phát hiện file DLL lạ
  • Chặn driver không đáng tin cậy qua chính sách Windows
  • Giám sát các hoạt động cài đặt trình điều khiển có lỗ hổng để phát hiện các cuộc tấn công
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Kido_ih
Lỗi này lab đã fix, các bạn có thể nâng phiên bản đang cài trên máy ver 18.1 nếy dùng Eset home, hoặc ver 12.0.2049 nếu dùng Eset endpoint.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: WhiteHat Team
Comment
Kido_ih
Lỗi này lab đã fix, các bạn có thể nâng phiên bản đang cài trên máy ver 18.1 nếy dùng Eset home, hoặc ver 12.0.2049 nếu dùng Eset endpoint.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: WhiteHat Team
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Gói npm độc hại giả mạo công cụ chuyển đổi PDF nhắm vào Atomic Wallet và Exodus
  • Mã độc skimmer và backdoor đánh cắp thẻ tín dụng nhắm vào người dùng WordPress
  • Mã độc Trung Quốc nhắm vào router Juniper: Nguy cơ mất an toàn mạng nghiêm trọng
  • Bản tin mã độc: Các mối đe dọa mới nhất trong tháng 3
  • Dự báo: 5 mã độc nguy hiểm cần cảnh giác trong năm 2025
  • Lừa đảo quét mã QR nhúng trong email
    • Thẻ
    china eset tcesb
    Bên trên