Seorang aktor ancaman yang berafiliasi dengan Cina yang dikenal karena serangan cyber-nya di Asia telah diamati mengeksploitasi cacat keamanan dalam perangkat lunak keamanan dari ESET untuk memberikan malware yang sebelumnya tidak berdokumen dengan nama sandi Tesb.
“Sebelumnya tidak terlihat dalam serangan Toddycat, [TCESB] dirancang untuk secara diam -diam menjalankan muatan dalam mengelak dari alat perlindungan dan pemantauan yang diinstal pada perangkat, “kata Kaspersky dalam analisis yang diterbitkan minggu ini.
Toddycat adalah nama yang diberikan kepada kluster aktivitas ancaman yang telah menargetkan beberapa entitas di Asia, dengan serangan yang berpacaran sepanjang waktu ke setidaknya Desember 2020.
Tahun lalu, vendor keamanan siber Rusia merinci penggunaan berbagai alat untuk mempertahankan akses yang terus-menerus ke lingkungan yang dikompromikan dan memanen data pada “skala industri” dari organisasi yang berlokasi di wilayah Asia-Pasifik.
Kaspersky mengatakan penyelidikannya terhadap insiden terkait Toddycat pada awal 2024 menggali file DLL yang mencurigakan (“Version.dll”) di direktori temp pada beberapa perangkat. DLL 64-bit, TCESB, telah ditemukan diluncurkan melalui teknik yang disebut DLL Search Order Hijacking untuk merebut kontrol aliran eksekusi.
Ini, pada gilirannya, dikatakan telah dicapai dengan mengambil keuntungan dari cacat pada pemindai baris perintah ESET, yang secara tidak aman memuat DLL bernama “versi.dll” dengan pertama -tama memeriksa file dalam direktori saat ini dan kemudian memeriksanya di direktori sistem.
Perlu ditunjukkan pada tahap ini bahwa “Version.dll” adalah perpustakaan pemeriksa versi dan file yang sah dari Microsoft yang berada di direktori “C: \ Windows \ System32 \” atau “C: \ Windows \ Syswow64 \”.
Konsekuensi dari mengeksploitasi celah ini adalah bahwa penyerang dapat menjalankan versi jahat mereka “Version.dll” yang bertentangan dengan rekannya yang sah. Kerentanan, dilacak sebagai CVE-2024-11859 (skor CVSS: 6.8), ditetapkan oleh ESET pada akhir Januari 2025 setelah pengungkapan yang bertanggung jawab.
“Kerentanan yang berpotensi memungkinkan penyerang dengan hak istimewa administrator untuk memuat perpustakaan link dinamis berbahaya dan menjalankan kodenya,” kata Eset dalam nasihat yang dirilis minggu lalu. “Teknik ini tidak meningkatkan hak istimewa, – penyerang akan perlu memiliki hak administrator untuk melakukan serangan ini.”
Dalam sebuah pernyataan yang dibagikan dengan The Hacker News, perusahaan cybersecurity Slovakat mengatakan mereka merilis build tetap dari konsumen, bisnis, dan produk keamanan server untuk sistem operasi Windows untuk mengatasi kerentanan.
TCESB, untuk bagiannya, adalah versi yang dimodifikasi dari alat open-source yang disebut EdrsandBlast yang mencakup fitur untuk mengubah struktur kernel sistem operasi untuk menonaktifkan rutinitas pemberitahuan (alias panggilan balik), yang dirancang untuk memungkinkan pengemudi diberitahu tentang peristiwa tertentu, seperti pembuatan proses atau menetapkan kunci registri.
Untuk melakukan ini, TCESB memanfaatkan teknik lain yang diketahui yang disebut sebagai membawa driver rentan Anda sendiri (BYOVD) untuk menginstal driver rentan, driver Dell DBUTILDRV2.SYS, dalam sistem melalui antarmuka Device Manager. Driver dbutildrv2.sys rentan terhadap cacat eskalasi hak istimewa yang diketahui dilacak sebagai CVE-2021-36276.
Ini bukan pengemudi Dell pertama yang dilecehkan untuk tujuan jahat. Pada tahun 2022, kerentanan eskalasi hak istimewa yang serupa (CVE-2021-21551) pada pengemudi Dell lain, DBUTIL_2_3.sys, juga dieksploitasi sebagai bagian dari serangan BYOVD oleh kelompok Lazarus yang terkait dengan Korea Utara untuk mematikan mekanisme keamanan.
“Setelah driver yang rentan diinstal dalam sistem, TCESB menjalankan loop di mana ia memeriksa setiap dua detik untuk keberadaan file muatan dengan nama tertentu di direktori saat ini – muatan mungkin tidak ada pada saat meluncurkan alat,” kata peneliti Kaspersky Andrey Gunkin.
Sementara artefak muatan itu sendiri tidak tersedia, analisis lebih lanjut telah menentukan bahwa mereka dienkripsi menggunakan AES-128 dan bahwa mereka diterjemahkan dan dieksekusi segera setelah mereka muncul di jalur yang ditentukan.
“Untuk mendeteksi aktivitas alat tersebut, disarankan untuk memantau sistem untuk acara pemasangan yang melibatkan pengemudi dengan kerentanan yang diketahui,” kata Kaspersky. “Ini juga layak memantau peristiwa yang terkait dengan memuat simbol debug kernel Windows pada perangkat di mana debugging sistem operasi tidak diharapkan.”
