複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) TCESB マルウェア

TCESB マルウェア

高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:
日本語

アジア全域でサイバー攻撃を展開することで知られる中国系の脅威アクターが、ESETセキュリティソフトウェアの脆弱性を悪用し、これまで文書化されていなかったマルウェア(コードネームTCESB)を拡散していることが確認されました。この新たに発見されたマルウェアは、セキュリティ対策を回避し、検知されることなくペイロードを実行するように設計されています。

トディキャット:アジアにおける根強い脅威

高度な脅威グループであるToddyCatは、少なくとも2020年12月からアジアの複数の組織を標的として活動しています。彼らの活動に関する最近の調査では、侵害されたシステムへの継続的なアクセスを維持し、アジア太平洋地域の組織から膨大な量のデータを収集するために、様々なツールを使用していることが明らかになりました。

脆弱性を悪用する:DLLハイジャック手法

2024年初頭にToddyCat関連のインシデントを調査していたセキュリティ研究者は、複数の侵害デバイスの一時ディレクトリに不審なDLLファイル「version.dll」を発見しました。TCESBと識別されるこのファイルは、DLL Search Order Hijacking(DLL検索順序ハイジャック)を利用して展開されていました。この攻撃は、攻撃者が正規のDLLファイルを置き換えることでプログラムの実行を制御することを可能にします。

この攻撃は、ESETのコマンドラインスキャナの脆弱性を悪用します。この脆弱性は、「version.dll」ファイルを安全でない方法で読み込みます。システムディレクトリから正規のバージョンを読み込む代わりに、まずカレントディレクトリをチェックするため、攻撃者は独自の悪意のあるDLLファイルを挿入する機会を得ます。

CVE-2024-11859: 悪用された脆弱性

CVE-2024-11859(CVSSスコア:6.8)として追跡されているこの脆弱性により、管理者権限を持つ攻撃者は安全でないコードを実行できました。しかし、この脆弱性自体では権限の昇格は許可されませんでした。攻撃者はこの脆弱性を悪用するために既に管理者権限を必要としていたのです。ESETは2025年1月にこの脆弱性を修正し、Windows向けのコンシューマー、ビジネス、サーバー向けセキュリティ製品向けにアップデートをリリースしました。

EDRSandBlastの武器化:TCESBがセキュリティ保護を無効にする方法

TCESBはオープンソースツールEDRSandBlastの修正版です。カーネル構造を操作して、通知ルーチン(コールバック)などのセキュリティメカニズムを無効化します。通知ルーチンは、プロセスの作成やレジストリの変更といった重要なイベントについてシステムドライバーに警告する重要な機能です。

これを実現するために、TCESBはよく知られたBYOVD(Bring Your Own Vulnerable Driver)手法を採用し、デバイスマネージャーインターフェースを介して脆弱なDellドライバ(DBUtilDrv2.sys)をインストールします。このドライバは、権限昇格の脆弱性であるCVE-2021-36276の影響を受けます。

Dellのドライバー:繰り返し発生する弱点

Dellドライバがサイバー攻撃に悪用されたのは今回が初めてではありません。2022年には、北朝鮮と関係のあるLazarusグループがDellドライバの別の脆弱性(CVE-2021-21551)を悪用し、セキュリティメカニズムを無効化しました。攻撃者は、古いドライバや脆弱なドライバを悪用してセキュリティ対策を回避し続けています。

TCESBの実行戦略

脆弱なドライバがインストールされると、TCESBは2秒ごとにカレントディレクトリ内の特定の名前のペイロードファイルを継続的にチェックします。ペイロードが最初に存在しない場合、TCESBはペイロードが出現するまで待機します。ペイロードはAES-128で暗号化され、デコードされて実行されます。

検出と予防措置

  • このような脅威に対抗するために、セキュリティ チームは次のことを行う必要があります。
  • ドライバーのインストール イベント、特に脆弱なドライバーに関連するイベントを監視します。
  • 特にカーネル デバッグが想定されていないシステムでは、疑わしいカーネル デバッグ アクティビティに注意してください。
  • 既知の脆弱性に対するパッチを含む、すべてのセキュリティ ソフトウェアが更新されていることを確認します。
  • 攻撃者がこのような脆弱性を悪用するのを防ぐために、管理者権限を制限します。

サイバー脅威の攻撃者は進化し続けているため、ToddyCat による攻撃のような高度な攻撃から身を守るには、警戒を怠らず、積極的なセキュリティ対策を講じることが重要です。

トレンド

MethodApplication

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
Mac ユーザーは、自分のデバイスが迷惑プログラムの影響を受けないとよく考えますが、潜在的に迷惑なプログラム (PUP) は、最も安全なシステムにも侵入する方法を見つけ続けています。これらの侵入型アプリケーションは、ユーザーに攻撃的な広告を大量に表示したり、閲覧習慣を追跡したり、システムをさらなるセキュリティ リスクにさらしたりする可能性があります。そのような脅威の 1 つが、悪名高いAdL...

DisplayProgress

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
デジタルの世界には、疑いを持たないユーザーを狙う脅威があふれています。その中でも、最も欺瞞的なのが潜在的に迷惑なプログラム (PUP) です。これらのアプリケーションは、誤解を招くような方法でシステムに侵入し、煩わしい広告を配信したり、ユーザー データを追跡したり、デバイスをさらなるセキュリティ リスクにさらしたりすることがよくあります。サイバー セキュリティ研究者によって特定されたそのよう...

VoxFlowG USDT エアドロップ メール詐欺

フィッシング, スパム
暗号通貨の台頭に伴い、詐欺師はユーザーを騙してデジタル資産を手放すために、ますます巧妙な手口を編み出しています。そのような詐欺の 1 つが、VoxFlowG USDT エアドロップ メール詐欺です。これは、疑いを持たない個人を餌食にして、無料の Tether (USDT) を約束します。この手口は、被害者の暗号通貨ウォレットから資金を集めることを目的としています。この手口がどのように機能するかを理解することで、ユーザーは同様の脅威を認識し、壊滅的な経済的損失を回避することができます。 誘惑:偽の USDT エアドロップの約束 このキャンペーンの背後にいる詐欺師は、次のような魅力的な件名の...

最も見られました

Discord 灰色の画面で立ち往生

問題
69,931
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
62,894
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
55,575
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...