• Website bán hàng chính thức của HPT Vietnam Corporation
  • Hỗ trợ 247 qua hotline - Ms Thư: 091 313 7342
  • An toàn - Bảo mật - Chuyên nghiệp - Tiết kiệm
  • Cam kết chính hãng
    Cam kết chính hãng
  • Bảo hành 12 tháng
    Bảo hành 12 tháng
  • Đổi trả trong vòng 15 ngày
    Đổi trả trong vòng 15 ngày

Tìm kiếm

0 Giỏ hàng

Giỏ hàng

0₫
Hiện chưa có sản phẩm
TỔNG TIỀN: 0₫
Xem giỏ hàng
  1. Trang chủ
  2. Góc chia sẻ
  3. Mã độc TCESB khai thác lỗ hổng ESET: Báo động từ một chiến dịch APT quy mô tại châu Á

Mã độc TCESB khai thác lỗ hổng ESET: Báo động từ một chiến dịch APT quy mô tại châu Á

bởi: hpttechstore
Mã độc TCESB khai thác lỗ hổng ESET: Báo động từ một chiến dịch APT quy mô tại châu Á

Toàn cảnh vụ việc: Lỗ hổng ESET bị khai thác âm thầm

Theo báo cáo mới nhất từ Kaspersky, một loại mã độc mới có tên TCESB đã được phát hiện trong chiến dịch tấn công có chủ đích (APT) nhắm vào các tổ chức tại châu Á. Mã độc này do nhóm tin tặc ToddyCat vận hành, khai thác lỗ hổng CVE-2024-11859 trong phần mềm diệt virus ESET thông qua kỹ thuật DLL Search Order Hijacking.

Cụ thể, công cụ ESET Command Line Scanner đã tải không an toàn thư viện version.dll, cho phép kẻ tấn công chèn một phiên bản độc hại vào thư mục tạm. Điều này dẫn đến việc thực thi mã độc mà không bị phát hiện.

CVE-2024-11859 có điểm CVSS 6.8 và đã được ESET vá vào cuối tháng 1/2025.
Nguồn: Securelist – Kaspersky Threat Intelligence

 

TCESB – mã độc nâng cấp và kỹ thuật BYOVD nguy hiểm

Các nhà nghiên cứu chỉ ra rằng TCESB là phiên bản cải tiến từ công cụ mã nguồn mở EDRSandBlast, được điều chỉnh để thực hiện hành vi can thiệp sâu vào hệ thống. Mã độc sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) bằng cách cài đặt driver Dell DBUtilDrv2.sys – từng được ghi nhận có lỗ hổng CVE-2021-36276.

Với kỹ thuật này, TCESB có thể can thiệp vào lớp kernel và vô hiệu hóa các cơ chế bảo mật hệ điều hành bằng cách khai thác driver đã biết tồn tại lỗ hổng. Kỹ thuật BYOVD không mới, nhưng việc sử dụng nó trong chiến dịch tấn công quy mô tại châu Á cho thấy xu hướng tái sử dụng lỗ hổng cũ với cách triển khai tinh vi hơn.

 

 

Hành vi tinh vi: Theo dõi và thực thi payload có điều kiện

Điểm nổi bật trong hành vi của TCESB là khả năng giám sát liên tục thư mục hiện tại để chờ sự xuất hiện của payload được chỉ định. Sau khi driver dễ bị tấn công được cài, mã độc sẽ kiểm tra mỗi hai giây để phát hiện tệp tin chứa payload. Payload này được mã hóa bằng AES-128 và sẽ được giải mã, thực thi ngay khi xuất hiện.

Điều này cho thấy chiến thuật tấn công của nhóm ToddyCat không phụ thuộc vào thời điểm cụ thể, mà sẵn sàng kích hoạt bất cứ lúc nào khi điều kiện phù hợp được đáp ứng.

 

 

Cảnh báo từ chuyên gia: Giám sát và tăng cường phòng thủ

Kaspersky khuyến nghị các tổ chức cần tăng cường giám sát hệ thống để phát hiện:

  • Sự kiện cài đặt hoặc truy cập các driver có lỗ hổng đã biết

  • Các hành vi liên quan đến việc tải không an toàn file DLL, đặc biệt là version.dll

  • Việc sử dụng các ký hiệu gỡ lỗi kernel không mong muốn trong môi trường sản xuất

Bên cạnh việc cập nhật bản vá bảo mật, doanh nghiệp cũng nên rà soát lại chính sách phân quyền hệ thống và triển khai các biện pháp kiểm soát truy cập mạnh để giảm nguy cơ bị xâm nhập ở cấp độ quản trị.

 

Xác thực mạnh – một lớp phòng ngừa quan trọng từ sớm

Mặc dù mã độc TCESB khai thác hệ thống ở tầng thấp, nhưng các chiến dịch APT quy mô thường bắt đầu từ việc đánh cắp thông tin xác thực hoặc lạm dụng truy cập hợp pháp. Việc xây dựng hàng rào phòng thủ ngay từ khâu xác thực đóng vai trò rất quan trọng để giảm thiểu nguy cơ này.

Một trong các biện pháp đang được nhiều tổ chức áp dụng là xác thực phần cứng chống phishing – sử dụng khóa bảo mật vật lý để đảm bảo tài khoản quản trị và truy cập nhạy cảm không bị đánh cắp bởi mã độc hoặc phishing.

Việc sử dụng thiết bị xác thực phần cứng như YubiKey là một trong nhiều lựa chọn để nâng cao độ tin cậy trong quản trị hệ thống. Tuy nhiên, doanh nghiệp cần lựa chọn giải pháp phù hợp với kiến trúc, ngân sách và mức độ rủi ro của từng môi trường triển khai.

 

 

Kết luận

Vụ việc liên quan đến mã độc TCESB là minh chứng cho thấy việc khai thác lỗ hổng phần mềm và driver cũ vẫn là chiến lược phổ biến của các nhóm APT. Điều đáng nói là nhiều lỗ hổng đã được vá từ lâu nhưng hệ thống chưa cập nhật kịp thời, trở thành điểm yếu nghiêm trọng.

Doanh nghiệp cần triển khai đồng bộ các biện pháp:

  • Giám sát hành vi hệ thống

  • Kiểm soát truy cập với xác thực mạnh

  • Liên tục cập nhật bản vá và đánh giá rủi ro bảo mật theo chu kỳ

Đọc thêm báo cáo gốc từ Kaspersky tại: https://securelist.com/tcesb-loader-analysis/

 

Liên hệ tư vấn về xác thực phần cứng cho doanh nghiệp

HPT là đối tác chính hãng được Yubico công nhận tại Việt Nam, chuyên cung cấp thiết bị YubiKey, YubiHSM và dịch vụ tư vấn triển khai xác thực phần cứng, hỗ trợ doanh nghiệp nâng cao an toàn truy cập, bảo vệ khóa mã hóa và tài khoản quan trọng.

Đội ngũ kỹ thuật của HPT có thể giúp doanh nghiệp đánh giá hiện trạng, đề xuất giải pháp xác thực phù hợp – từ phần cứng đến mô hình triển khai.

📩 Liên hệ ngay tại: https://hpttechstore.com

Tags: #Thông tin, #tin tức,

Đang xem: Mã độc TCESB khai thác lỗ hổng ESET: Báo động từ một chiến dịch APT quy mô tại châu Á

Bài trước Bài sau

Bài viết liên quan

0 sản phẩm
0₫
Xem chi tiết
0 sản phẩm
0₫
Đóng

Giỏ hàng

0₫
Hiện chưa có sản phẩm
TỔNG TIỀN: 0₫
Xem giỏ hàng