Se ha observado que un actor de amenaza afiliado a los chinos conocido por sus ataques cibernéticos en Asia explotando un defecto de seguridad en el software de seguridad de ESET para entregar un malware previamente indocumentado con nombre en código TCEB.
“Anteriormente invisible en los ataques de Toddycat, (TCEB) está diseñado para ejecutar sigilosamente las cargas bártulos en la dilema de las herramientas de protección y monitoreo instaladas en el dispositivo”, dijo Kaspersky en un examen publicado esta semana.
Toddycat es el nombre cubo a un asociación de actividades de amenaza que ha atacado a varias entidades en Asia, con ataques que datan hasta al menos diciembre de 2020.
El año pasado, el proveedor de ciberseguridad ruso detalló el uso del asociación de piratería de varias herramientas para prolongar el entrada persistente a entornos comprometidos y recoger datos en una “escalera industrial” de organizaciones ubicadas en la región de Asia y el Pacífico.
Kaspersky dijo que su investigación sobre incidentes relacionados con Toddycat a principios de 2024 desenterró un archivo DLL sospechoso (“Version.dll”) en el directorio TEMP en múltiples dispositivos. Se ha enfrentado que la DLL de 64 bits, TCEB, se asta a través de una técnica convocatoria secuestro de orden de búsqueda de DLL para confiscar el control del flujo de ejecución.
Se dice que esto a su vez se logró aprovechando una defecto en el escáner de tilde de comandos ESET, que carga inseguramente una DLL convocatoria “Version.dll” al demostrar primero el archivo en el directorio contemporáneo y luego verificarlo en los directorios del sistema.
Vale la pena señalar en esta etapa que “Version.dll” es una biblioteca legítima de demostración de interpretación e instalación de archivos de Microsoft que reside en los directorios “C: Windows System32 ” o “C: Windows Syswow64 “.
Una consecuencia de explotar esta lapso es que los atacantes podrían ejecutar su interpretación maliciosa de “interpretación.dll” en superficie de su contraparte legítima. La vulnerabilidad, rastreada como CVE-2024-11859 (puntaje CVSS: 6.8), fue fijado por ESET a fines de enero de 2025 luego de la divulgación responsable.
“La vulnerabilidad potencialmente permitió a un atacante con privilegios de administrador cargar una biblioteca maliciosa de enlace dinámico y ejecutar su código”, dijo Eset en un aviso publicado la semana pasada. “Sin bloqueo, esta técnica no elevó los privilegios: el atacante ya habría necesario tener privilegios de administrador para realizar este ataque”.
En un comunicado compartido con Hacker News, la compañía de seguridad cibernética eslovaca dijo que lanzó construcciones fijas de sus productos de seguridad de consumidores, negocios y servidores para el sistema activo Windows para tocar la vulnerabilidad.
TCEB, por su parte, es una interpretación modificada de una aparejo de código extenso convocatoria edrsandblast que incluye características para alterar las estructuras del núcleo del sistema activo para deshabilitar las rutinas de notificación (incluso conocidas como devoluciones de convocatoria), que están diseñados para permitir que los conductores se notifiquen de eventos específicos, como la creación de procesos o la configuración de una secreto de registro.
Para alcanzar esto, TCEB aprovecha otra técnica conocida denominada Trae su propio regulador abandonado (BYOVD) para instalar un regulador abandonado, un regulador DButilDRV2.Sys, en el sistema a través de la interfaz del administrador de dispositivos. El conductor DButilDRV2.Sys es susceptible a una defecto de subida de privilegio conocida rastreada como CVE-2021-36276.
Esta no es la primera vez que los conductores de Dell han sido abusados con fines maliciosos. En 2022, una vulnerabilidad de subida de privilegio similar (CVE-2021-21551) en otro conductor de Dell, DBUTIL_2_3.SYS, incluso fue explotado como parte de los ataques de BYOVD por el asociación Lázaro vinculado a Corea del Boreal para apagar los mecanismos de seguridad.
“Una vez que el regulador abandonado está instalado en el sistema, TCEB ejecuta un tirabuzón en el que verifica cada dos segundos por la presencia de un archivo de carga útil con un nombre específico en el directorio contemporáneo: la carga útil puede no estar presente al momento de iniciar la aparejo”, dijo el investigador de Kaspersky, Andrey Gunkin.
Si proporcionadamente los artefactos de carga útil no están disponibles, un examen adicional ha determinado que están encriptados usando AES-128 y que están decodificados y ejecutados tan pronto como aparecen en la ruta especificada.
“Para detectar la actividad de tales herramientas, se recomienda monitorear los sistemas para eventos de instalación que involucran a conductores con vulnerabilidades conocidas”, dijo Kaspersky. “Todavía vale la pena monitorear los eventos asociados con la carga de símbolos de depuración del kernel de Windows en dispositivos donde no se retraso la depuración del núcleo del sistema activo”.
