Группа ToddyCat APT продолжает совершенствовать свои методы сокрытия вредоносной деятельности в зараженных системах, применяя сложные стратегии, такие как DLL-прокси. В начале 2024 года аналитики зафиксировали использование 64-разрядной библиотеки DLL с именем version.dll, которая была выявлена во временных каталогах на нескольких устройствах и ранее не связывалась с этой APT группой. Этот инструмент, обозначаемый как TCESB, позволяет злоумышленникам обходить существующие механизмы защиты и мониторинга, исполняя свои полезные нагрузки скрытно.
Принцип работы TCESB
TCESB работает на основе технологии DLL-проксирования и использует методы, такие как T1574 (перехват потока выполнения). Этот механизм позволяет эксплуатировать легитимные библиотеки DLL, перенаправляя вызовы на вредоносные реализации и тем самым оставаясь незамеченным. Основными особенностями работы TCESB являются:
- Использование уязвимых приложений, которые не проверяют местоположение загружаемых библиотек;
- Способность загружать вредоносные библиотеки DLL вместо законных;
- Наличие уязвимости в библиотеке сканера командной строки ESET.
Во время расследования была обнаружена вторая версия version.dll вместе с вредоносным вариантом. Эта находка свидетельствует о проблемах с безопасностью приложений, которые были защищены ненадлежащим образом. ESET вскоре признала уязвимость как CVE-2024-11859 и выпустила обновление для ее устранения.
Методы уклонения от обнаружения
TCESB также направлен на использование уязвимости CVE-2021-36276, которая была найдена в драйвере Dell DBUtilDrv2.sys, для получения привилегий на уровне ядра. Эти привилегии позволяют группе изменять структуру ядра и отключать процедуры уведомления о событиях, включая уведомления, связанные с созданием процессов.
Процесс работы TCESB включает:
- Извлечение информации о версии ядра;
- Сравнение с ресурсами через файлы CSV или PDB для определения необходимых смещений;
- Установку уязвимого драйвера через диспетчер устройств.
Безопасность и рекомендации
Данное исследование подчеркивает важность для организаций следить за событиями установки драйверов, которые связаны с известными уязвимостями, а также проверять наличие непроверенных цифровых подписей в загружаемых системных библиотеках. Применение таких упреждающих мер является критически важным для:
- Обнаружения скрытых угроз;
- Снижения риска атак со стороны APT групп.
Группа ToddyCat продолжает развивать свои методологии атак, и организации должны оставаться бдительными в условиях постоянно меняющегося ландшафта киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Методы сокрытия ToddyCat APT: анализ уязвимостей TCESB".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.