ESET Güvenlik Tarayıcı Açıklarını Hedef Alan Süregelen Saldırılarda Yeni TCESB Kötü Amaçlı Yazılımı Keşfedildi

09.04.2025

Asya genelindeki siber saldırılarıyla tanınan Çin bağlantılı bir tehdit aktörü, ESET güvenlik yazılımındaki bir güvenlik açığını kullanarak daha önce belgelenmemiş bir kötü amaçlı yazılım olan TCESB'yi dağıttığı gözlemlendi. Bu kötü amaçlı yazılım, en azından Aralık 2020'den beri Asya-Pasifik bölgesindeki çeşitli kuruluşları hedef alan ToddyCat grubu ile ilişkilendirilmektedir. Kaspersky'nin analizine göre, TCESB, yüklerini gizlice çalıştırmak ve enfekte olmuş sistemlerdeki koruma ve izleme araçlarını atlatmak için tasarlanmıştır.

Kötü amaçlı yazılım, özellikle "version.dll" dosyasını yükleme şekliyle ilgili ESET Command Line Scanner'daki bir güvenlik açığından faydalanmaktadır. Microsoft işletim sisteminin meşru bir parçası olan bu DLL, güvensiz dizinlerden yanlış bir şekilde yükleniyor ve bu da saldırganların dosyanın kötü amaçlı bir versiyonunu yerleştirmesine olanak tanıyor. CVE-2024-11859 olarak takip edilen bu güvenlik açığı, ESET tarafından Ocak 2025'te bir güncelleme ile düzeltilmiştir.

TCESB, açık kaynaklı bir araç olan EDRSandBlast'ın modifiye edilmiş bir versiyonudur. İşletim sistemi çekirdek yapılarını manipüle etme yeteneğine sahip olup, kritik bildirim rutinlerini devre dışı bırakabilir. Ayrıca, TCESB, "kendi savunmasız sürücüsünü getir" (BYOVD) tekniğini kullanarak, daha önce benzer saldırılarda hedef alınmış olan Dell DBUtilDrv2.sys sürücüsündeki ayrıcalık yükseltme açığını kullanmaktadır. Bu, kötü amaçlı yazılımın ayrıcalıklarını yükseltmesine ve sistemi daha fazla kontrol etmesine olanak sağlar.

Kötü amaçlı yazılım, sistem dizininde belirli yük dosyalarını arar ve bunları bulduğunda şifrelerini çözer ve çalıştırır. Tam olarak ne tür yüklerin bulunduğu bilinmemekle birlikte, bu dosyaların AES-128 ile şifrelenmiş olduğu ve belirli dizinde belirdiklerinde aktive oldukları düşünülmektedir. Böyle saldırıları tespit etmek için bilinen savunmasız sürücüler ve olağandışı çekirdek hata ayıklama etkinliklerinin izlenmesi tavsiye edilmektedir.

ESET, ürünlerinde bu güvenlik açığını gideren güncellemeleri yayınlayarak riski azaltmıştır. Kuruluşlar ve kullanıcılar, bu yamaların sistemlerine yüklendiğinden emin olmalı ve TCESB veya benzeri yöntemlerle yapılan saldırılardan korunmalıdır.