Um ator de ameaças afiliado à China, conhecido por seus ataques cibernéticos na Ásia, foi observado explorando uma falha de segurança no software de segurança da ESET para entregar um malware anteriormente não documentado, codinomeado TCESB.
"Anteriormente não visto em ataques do ToddyCat, [o TCESB] é projetado para executar payloads de maneira furtiva, contornando ferramentas de proteção e monitoramento instaladas no dispositivo", disse a Kaspersky em uma análise publicada esta semana.
ToddyCat é o nome dado a um cluster de atividades de ameaças que tem como alvo várias entidades na Ásia, com ataques datando pelo menos desde dezembro de 2020.
No ano passado, o fornecedor russo de cibersegurança detalhou o uso do grupo de hackers de várias ferramentas para manter acesso persistente a ambientes comprometidos e colher dados em uma "escala industrial" de organizações localizadas na região da Ásia-Pacífico.
A Kaspersky disse que sua investigação sobre incidentes relacionados ao ToddyCat no início de 2024 desenterrou um arquivo DLL suspeito ("version.dll") no diretório temp em múltiplos dispositivos.
A DLL de 64 bits, TCESB, foi encontrada sendo lançada via uma técnica chamada DLL Search Order Hijacking para assumir o controle do fluxo de execução.
Isso, por sua vez, teria sido alcançado aproveitando-se de uma falha no ESET Command Line Scanner, que carrega de forma insegura uma DLL chamada "version.dll" ao primeiro verificar o arquivo no diretório atual e depois nos diretórios do sistema.
É importante destacar nesta fase que "version.dll" é uma biblioteca legítima da Microsoft para verificação de versão e instalação de arquivo que reside nos diretórios "C:\Windows\system32\" ou "C:\Windows\SysWOW64\".
Uma consequência da exploração dessa brecha é que os atacantes poderiam executar sua versão maliciosa de "version.dll" em oposição à sua contraparte legítima.
A vulnerabilidade, rastreada como
CVE-2024-11859
(pontuação CVSS: 6.8), foi corrigida pela ESET no final de janeiro de 2025 após uma divulgação responsável.
"A vulnerabilidade potencialmente permitia que um atacante com privilégios de administrador carregasse uma dynamic-link library maliciosa e executasse seu código", disse a ESET em um aviso divulgado na semana passada.
Esta técnica não elevava os privilégios, no entanto - o atacante já precisaria ter privilégios de administrador para realizar este ataque. Em um comunicado compartilhado , a empresa eslovaca de cibersegurança disse que liberou builds corrigidos de seus produtos de segurança para consumidor, empresas e servidores para o sistema operacional Windows para abordar a vulnerabilidade.
O TCESB, por sua vez, é uma versão modificada de uma ferramenta de código aberto chamada EDRSandBlast que inclui recursos para alterar estruturas do kernel do sistema operacional para desativar rotinas de notificação (conhecidas como callbacks), que são projetadas para permitir que drivers sejam notificados de eventos específicos, como a criação de processos ou a definição de uma chave de registro.
Para conseguir isso, o TCESB aproveita outra técnica conhecida referida como bring your own vulnerable driver (BYOVD) para instalar um driver vulnerável, um driver Dell DBUtilDrv2.sys, no sistema através da interface do Gerenciador de Dispositivos.
O driver DBUtilDrv2.sys é suscetível a uma falha conhecida de escalonamento de privilégios rastreada como
CVE-2021-36276
.
Esta não é a primeira vez que drivers da Dell são abusados para fins maliciosos.
Em 2022, uma vulnerabilidade de escalonamento de privilégios semelhante (
CVE-2021-21551
) em outro driver da Dell, dbutil_2_3.sys, também foi explorada como parte de ataques BYOVD pelo grupo ligado à Coreia do Norte, Lazarus Group, para desativar mecanismos de segurança.
"Uma vez que o driver vulnerável é instalado no sistema, o TCESB executa um loop em que verifica a cada dois segundos a presença de um arquivo de payload com um nome específico no diretório atual – o payload pode não estar presente no momento do lançamento da ferramenta", disse o pesquisador da Kaspersky, Andrey Gunkin.
Embora os artefatos de payload em si não estejam disponíveis, análises adicionais determinaram que eles são criptografados usando AES-128 e que são decodificados e executados assim que aparecem no caminho especificado.
"Para detectar a atividade de tais ferramentas, é recomendado monitorar os sistemas para eventos de instalação envolvendo drivers com vulnerabilidades conhecidas", disse a Kaspersky.
Também vale a pena monitorar eventos associados ao carregamento de símbolos de depuração do kernel do Windows em dispositivos onde a depuração do kernel do sistema operacional não é esperada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...