È stato osservato un attore di minaccia affiliato cinese noto per i suoi attacchi informatici in Asia che sfrutta un difetto di sicurezza nel software program di sicurezza da ESET per fornire un malware precedentemente privo di documenti Tcesb.
“Precedentemente invisibile negli attacchi di Toddycat, (TCESB) è progettato per eseguire furtivamente i payload in ecluvizia degli strumenti di protezione e monitoraggio installati sul dispositivo”, Kaspersky disse In un’analisi pubblicata questa settimana.
Toddycat è il nome dato a un cluster di attività di minaccia che ha preso di mira numerous entità in Asia, con attacchi risalenti advert almeno dicembre 2020.
L’anno scorso, il venditore di sicurezza informatica russa dettagliato L’uso da parte del gruppo di hacking di vari strumenti per mantenere l’accesso persistente advert ambienti compromessi e raccogliere dati su una “scala industriale” da organizzazioni situate nella regione Asia-Pacifico.
Kaspersky ha affermato che le sue indagini su incidenti relativi a Toddycat all’inizio del 2024 hanno portato alla luce un file DLL sospetto (“versione.dll”) nella listing temporanea su più dispositivi. È stato scoperto che la DLL a 64 bit, TCESB, è stata lanciata tramite una tecnica chiamata DLL Search Order Hijacking per cogliere il controllo del flusso di esecuzione.
Questo, a sua volta, si cube che sia stato realizzato sfruttando un difetto nel Scanner della riga di comando ESETche carica in modo tipico un DLL denominato “versione.dll” controllando prima il file nella listing corrente e quindi verificandolo nelle listing di sistema.
Vale la pena sottolineare in questa faseversione.dll“È legittimo libreria di controllo della versione e di installazione dei file da Microsoft che risiede nelle listing “C: Home windows System32 ” o “C: Home windows Syswow64 “.
Una conseguenza dello sfruttamento di questa scappatoia è che gli aggressori potrebbero eseguire la loro versione dannosa di “versione.dll” rispetto alla sua controparte legittima. La vulnerabilità, monitorata come CVE-2024-11859 (Punteggio CVSS: 6.8), period fisso di ESET a tremendous gennaio 2025 dopo la divulgazione responsabile.
“La vulnerabilità potenzialmente ha permesso a un utente malintenzionato con i privilegi di amministratore di caricare una libreria di collegamento dinamico dannoso ed eseguire il suo codice”, ESET disse In una consulenza pubblicata la scorsa settimana. “Questa tecnica non ha elevato i privilegi, tuttavia, l’attaccante avrebbe già dovuto avere privilegi di amministratore per eseguire questo attacco.”
In una dichiarazione condivisa con Hacker Information, la società slovacca di sicurezza informatica ha dichiarato di aver rilasciato construct fissi dei suoi prodotti di sicurezza dei consumatori, delle imprese e del server per il sistema operativo Home windows per affrontare la vulnerabilità.
TCESB, da parte sua, è una versione modificata di uno strumento open supply chiamato EDRSANDBLAST che embrace funzionalità per alterare le strutture del kernel del sistema operativo per disabilitare le routine di notifica (AKA callbacks), che sono progettati per consentire ai conducenti di essere notificati a eventi specifici, come la creazione di processi o l’impostazione di una chiave di registro.
Per realizzare questo, TCESB sfrutta un’altra tecnica nota chiamata Porta il tuo driver vulnerabile (Byovd) Per installare un driver vulnerabile, un driver Dell dbutildrv2.sys, nel sistema tramite l’interfaccia del gestore dei dispositivi. Il driver DButilDRV2.SYS è suscettibile a un difetto di escalation del privilegio noto come tracciato come CVE-2021-36276.
Questo non è che i primi conducenti Dell sono stati abusati per scopi dannosi. Nel 2022, una simile vulnerabilità per l’escalation dei privilegi (CVE-2021-21551) in un altro driver Dell, Dbutil_2_3.sys, period anche sfruttato Come parte degli attacchi BYOVD da parte del gruppo Lazzaro collegato alla Corea del Nord per disattivare i meccanismi di sicurezza.
“Una volta installato il driver vulnerabile nel sistema, TCESB esegue un ciclo in cui controlla ogni due secondi per la presenza di un file di carico utile con un nome specifico nella listing attuale – il payload potrebbe non essere presente al momento del lancio dello strumento”, ha affermato il ricercatore di Kaspersky Andrey Gunkin.
Mentre i manufatti del payload stessi non sono disponibili, ulteriori analisi hanno stabilito che sono crittografati usando AES-128 e che vengono decodificati ed eseguiti non appena appaiono nel percorso specificato.
“Per rilevare l’attività di tali strumenti, si consiglia di monitorare i sistemi per eventi di installazione che coinvolgono driver con vulnerabilità notice”, ha affermato Kaspersky. “Vale anche la pena monitorare gli eventi associati al caricamento di simboli di debug del kernel di Home windows sui dispositivi in cui il debug del kernel del sistema operativo non è previsto.”
