اكتشاف برمجية خبيثة جديدة باسم TCESB تستغل ثغرة في أداة فحص ESET الأمنية

كشفت شركة كاسبرسكي عن هجوم إلكتروني جديد تنفذه جهة تهديد مرتبطة بالصين، تستغل فيه ثغرة أمنية في أداة ESET Command Line Scanner لتوزيع برمجية خبيثة غير موثقة سابقًا تُعرف باسم TCESB.

وذكرت كاسبرسكي أن البرمجية “مصممة لتنفيذ حمولات ضارة بشكل متخفي، متجاوزة بذلك أدوات الحماية والمراقبة المثبتة على الأجهزة المستهدفة.”

من هي الجهة المنفذة للهجوم؟

يُنسب هذا الهجوم إلى مجموعة تهديد تُعرف باسم ToddyCat، تنشط منذ ديسمبر 2020 على الأقل، واستهدفت عدة جهات في منطقة آسيا والمحيط الهادئ، بما في ذلك مؤسسات حكومية وتجارية.

وفي تقارير سابقة، وُثقت محاولات هذه المجموعة لجمع بيانات ضخمة بشكل مستمر من بيئات مخترقة باستخدام أدوات متقدمة للحفاظ على الوصول غير المشروع.

ما هي الثغرة الأمنية المستغلة؟

الثغرة، المعروفة بـ CVE-2024-11859 (درجة CVSS: 6.8)، تكمن في الطريقة التي تقوم بها أداة ESET . بدلاً من تحميل النسخة الشرعية من مجلد النظام، تقوم الأداة بتحميل أي ملف يحمل الاسم نفسه إذا كان موجودًا في مجلد مؤقت، مما يفتح المجال أمام تنفيذ نسخة خبيثة من هذه المكتبة.

وقد تم إصلاح الثغرة من قبل ESET في يناير 2025، بعد الإبلاغ عنها بمسؤولية.

كيف تعمل برمجية TCESB الخبيثة؟

تُطلق البرمجية عبر تقنية تُعرف باسم DLL Search Order Hijacking، حيث يتم استبدال مكتبة DLL الأصلية بأخرى خبيثة.
تقوم البرمجية بتعديل بنية نواة نظام التشغيل لتعطيل “الروتينات الإشعارية” (Callbacks)، والتي تُستخدم لتنبيه النظام بإنشاء العمليات أو تعديل السجل.
تستند TCESB إلى أداة مفتوحة المصدر تُعرف باسم EDRSandBlast، لكنها أُعيد تعديلها لتعزيز قدرتها على التخفي والتلاعب بوظائف النظام.

استغلال ثغرات تعريفات الأجهزة عبر تقنية BYOVD

تستخدم البرمجية تقنية “إحضار برنامج تشغيل ضعيف خاص بك” (BYOVD) لتثبيت تعريف ضعيف من نوع Dell DBUtilDrv2.sys، المعروف بأنه يحتوي على ثغرة تصعيد صلاحيات (CVE-2021-36276).

وهذه ليست المرة الأولى التي تُستغل فيها تعريفات Dell؛ ففي عام 2022، استغلت مجموعة Lazarus الكورية الشمالية ثغرة مشابهة (CVE-2021-21551) لتعطيل آليات الحماية.