Een Chinees-gelieerde dreigingsacteur die bekend staat om zijn cyberaanvallen in Azië is waargenomen met het benutten van een beveiligingsfout in beveiligingssoftware van ESET om een eerder zonder papieren malware te leveren Tcesb.
“Voorheen ongezien in Toddycat -aanvallen, (TCESB), is ontworpen om de payloads die op het apparaat op het apparaat zijn geïnstalleerd, intensief ladingen uit te voeren,” zei Kaspersky in een analyse die deze week is gepubliceerd.
Toddycat is de naam die wordt gegeven aan een activiteitscluster van dreigingen die zich op verschillende entiteiten in Azië heeft gericht, met aanvallen die helemaal teruggaan tot ten minste december 2020.
Vorig jaar beschreef de Russische cybersecurity-leverancier het gebruik van verschillende tools door de hackinggroep om aanhoudende toegang tot gecompromitteerde omgevingen te behouden en gegevens te oogsten op een “industriële schaal” van organisaties in de regio Azië-Pacific.
Kaspersky zei dat zijn onderzoek naar Toddycat-gerelateerde incidenten begin 2024 een verdacht DLL-bestand (“Version.dll”) in de TEMP-map op meerdere apparaten heeft opgenomen. De 64-bit DLL, TCESB, is gebleken via een techniek met de naam DLL Zoekorderkaacking om de controle over de uitvoeringsstroom te grijpen.
Dit zou op zijn beurt zijn bereikt door te profiteren van een fout in de ESET -opdrachtregelscanner, die onzeker een DLL met de naam “versie.dll” laadt door eerst op het bestand in de huidige map te controleren en vervolgens op de systeemmappen te controleren.
Het is de moeite waard om in dit stadium erop te wijzen dat “Version.DLL” een legitieme versiebibliotheek voor het controleren van versies en bestandsinstallatie is van Microsoft die zich bevindt in de mappen “C: Windows System32 ” of “C: Windows SysWow64 “.
Een gevolg van het exploiteren van deze maas in de wet is dat aanvallers hun kwaadaardige versie van “Version.DLL” kunnen uitvoeren in tegenstelling tot zijn legitieme tegenhanger. De kwetsbaarheid, gevolgd als CVE-2024-11859 (CVSS-score: 6.8), werd eind januari 2025 vastgesteld door ESET na verantwoorde openbaarmaking.
“De kwetsbaarheid liet een aanvaller mogelijk met beheerdersrechten toe om een kwaadwillende dynamische linkbibliotheek te laden en zijn code uit te voeren,” zei ESET in een advies dat vorige week werd vrijgegeven. “Deze techniek heeft echter de voorrechten niet verhoogd – de aanvaller zou al beheerdersrechten nodig hebben om deze aanval uit te voeren.”
In een verklaring gedeeld met het Hacker News zei het Slowaakse cybersecuritybedrijf dat het vaste builds van zijn consumenten-, bedrijfs- en serverbeveiligingsproducten heeft vrijgegeven voor het Windows -besturingssysteem om de kwetsbaarheid aan te pakken.
TCESB, van zijn kant, is een gewijzigde versie van een open-source tool genaamd EDRSandBlast met functies om kernelstructuren van het besturingssysteem te wijzigen om meldingsroutines (AKA callbacks) uit te schakelen, die zijn ontworpen om stuurprogramma’s te kunnen worden op de hoogte gebracht van specifieke gebeurtenissen, zoals procescreatie of het instellen van een registratiesleutel.
Om dit voor elkaar te krijgen, maakt TCESB gebruik van een andere bekende techniek die wordt aangeduid als Breng uw eigen kwetsbare stuurprogramma (BYOVD) om een kwetsbaar stuurprogramma, een Dell DbutilDRV2.SYS -stuurprogramma, in het systeem te installeren via de interface voor apparaatbeheer. De DBUTILLDRV2.SYS-driver is vatbaar voor een bekend privilege-escalatiefout gevolgd als CVE-2021-36276.
Dit is niet de eerste keer dat Dell -chauffeurs zijn misbruikt voor kwaadaardige doeleinden. In 2022 werd een soortgelijke kwetsbaarheid voor escalatie (CVE-2021-21551) in een andere Dell-stuurprogramma, DBUTIL_2_3.SYS, ook geëxploiteerd als onderdeel van BYOVD-aanvallen door de Noord-Korea-gekoppelde Lazarus-groep om veiligheidsmechanismen uit te schakelen.
“Zodra het kwetsbare stuurprogramma in het systeem is geïnstalleerd, voert TCESB een lus uit waarin het om de twee seconden controleert op de aanwezigheid van een payload -bestand met een specifieke naam in de huidige map – de payload is mogelijk niet aanwezig op het moment van lancering van de tool,” zei Kaspersky -onderzoeker Andrey Gunkin.
Hoewel de payload-artefacten zelf niet beschikbaar zijn, heeft verdere analyse vastgesteld dat ze worden gecodeerd met behulp van AES-128 en dat ze worden gedecodeerd en uitgevoerd zodra ze in het opgegeven pad verschijnen.
“Om de activiteit van dergelijke tools te detecteren, wordt het aanbevolen om systemen te controleren op installatie -evenementen waarbij stuurprogramma’s met bekende kwetsbaarheden betrokken zijn,” zei Kaspersky. “Het is ook de moeite waard om gebeurtenissen te bewaken die zijn gekoppeld aan het laden van Windows Kernel Debug -symbolen op apparaten waar foutopsporing van de kernel van het besturingssysteem niet wordt verwacht.”
