كشفت تقارير أمنية حديثة أن مجموعة التهديد المتقدمة المستمرة “ToddyCat”، والتي يُعتقد أنها مرتبطة بالحكومة الصينية، قد استغلت ثغرة أمنية في برنامج مكافحة الفيروسات الشهير ESET، لتثبيت برمجية خبيثة جديدة تُعرف باسم TCESB على أجهزة الضحايا دون علمهم.
تفاصيل الثغرة الأمنية
الثغرة، التي تم تحديدها تحت الرمز CVE-2024-11859، تصنّف كـ اختطاف ترتيب تحميل مكتبات DLL (DLL Search Order Hijacking)، وهي تقنية يستغلها المهاجمون عندما يقوم أحد البرامج بتحميل ملفات DLL من مجلدات غير آمنة، مثل المجلد الحالي، بدلاً من المسارات الرسمية والموثوقة في النظام.
في هذه الحالة، يمكن للمهاجم أن يخدع البرنامج لتحميل ملف DLL خبيث يحمل نفس اسم المكتبة الأصلية، مما يسمح بتنفيذ أكواد ضارة بصمت داخل النظام.
ماذا تفعل برمجية TCESB الخبيثة؟
بمجرد تحميل برمجية TCESB وتنفيذها، تقوم بتنفيذ سلسلة من الأوامر المتقدمة والخطيرة تهدف إلى التحكم الكامل في الجهاز المصاب، ومنها:
-
قراءة إصدار نواة نظام التشغيل (Kernel) لتحديد البيئة.
-
تعطيل إشعارات النظام التي قد تنبّه أدوات الحماية لأي سلوك مريب.
-
تثبيت برنامج تشغيل ضعيف (vulnerable driver) بهدف التهرب من آليات الحماية.
-
تنفيذ حمولة ضارة غير معروفة حتى لحظة إعداد هذا التقرير.
التحديثات الأمنية
تم تصحيح الثغرة الأمنية في يناير 2024 بعد قيام باحثين أمنيين بإبلاغ ESET بمسؤولية. وتنصح الشركة جميع المستخدمين بضرورة تحديث البرنامج إلى أحدث إصدار، لضمان عدم استغلال هذه الثغرة في أجهزتهم.
توصيات أمنية للمؤسسات والمستخدمين:
-
تحديث برامج الحماية فورًا إلى آخر إصدار متاح.
-
مراجعة أنماط تحميل DLL في البرامج المخصصة داخليًا لتجنب نقاط الضعف المشابهة.
-
مراقبة تحميل أو تثبيت برامج التشغيل (drivers) من مصادر غير موثوقة أو غير موقّعة.
-
تدريب الفرق التقنية على أنواع الهجمات المتقدمة مثل اختطاف مكتبات DLL.
