Se ha observado que un actor de amenaza afiliado a los chinos conocido por sus ataques cibernéticos en Asia explotando un defecto de seguridad en el software de seguridad de ESET para entregar un malware previamente indocumentado con nombre en código TCEB.
«Anteriormente invisible en los ataques de Toddycat, (TCEB) está diseñado para ejecutar sigilosamente las cargas útiles en la elección de las herramientas de protección y monitoreo instaladas en el dispositivo», dijo Kaspersky en un análisis publicado esta semana.
Toddycat es el nombre dado a un grupo de actividades de amenaza que ha atacado a varias entidades en Asia, con ataques que datan hasta al menos diciembre de 2020.
El año pasado, el proveedor de ciberseguridad ruso detalló el uso del grupo de piratería de varias herramientas para mantener el acceso persistente a entornos comprometidos y recolectar datos en una «escala industrial» de organizaciones ubicadas en la región de Asia y el Pacífico.
Kaspersky dijo que su investigación sobre incidentes relacionados con Toddycat a principios de 2024 desenterró un archivo DLL sospechoso («Version.dll») en el directorio TEMP en múltiples dispositivos. Se ha encontrado que la DLL de 64 bits, TCEB, se lanza a través de una técnica llamada secuestro de orden de búsqueda de DLL para confiscar el control del flujo de ejecución.
Se dice que esto a su vez se logró aprovechando una falla en el escáner de línea de comandos ESET, que carga inseguramente una DLL llamada «Version.dll» al verificar primero el archivo en el directorio actual y luego verificarlo en los directorios del sistema.
Vale la pena señalar en esta etapa que «Version.dll» es una biblioteca legítima de verificación de versión e instalación de archivos de Microsoft que reside en los directorios «C: Windows System32 » o «C: Windows Syswow64 «.
Una consecuencia de explotar esta laguna es que los atacantes podrían ejecutar su versión maliciosa de «versión.dll» en lugar de su contraparte legítima. La vulnerabilidad, rastreada como CVE-2024-11859 (puntaje CVSS: 6.8), fue fijado por ESET a fines de enero de 2025 después de la divulgación responsable.
«La vulnerabilidad potencialmente permitió a un atacante con privilegios de administrador cargar una biblioteca maliciosa de enlace dinámico y ejecutar su código», dijo Eset en un aviso publicado la semana pasada. «Sin embargo, esta técnica no elevó los privilegios: el atacante ya habría necesitado tener privilegios de administrador para realizar este ataque».
En un comunicado compartido con Hacker News, la compañía de seguridad cibernética eslovaca dijo que lanzó construcciones fijas de sus productos de seguridad de consumidores, negocios y servidores para el sistema operativo Windows para abordar la vulnerabilidad.
TCEB, por su parte, es una versión modificada de una herramienta de código abierto llamada edrsandblast que incluye características para alterar las estructuras del núcleo del sistema operativo para deshabilitar las rutinas de notificación (también conocidas como devoluciones de llamada), que están diseñados para permitir que los conductores se notifiquen de eventos específicos, como la creación de procesos o la configuración de una clave de registro.
Para lograr esto, TCEB aprovecha otra técnica conocida denominada Trae su propio controlador vulnerable (BYOVD) para instalar un controlador vulnerable, un controlador DButilDRV2.Sys, en el sistema a través de la interfaz del administrador de dispositivos. El conductor DButilDRV2.Sys es susceptible a una falla de escalada de privilegio conocida rastreada como CVE-2021-36276.
Este no es los primeros conductores de Dell han sido abusados con fines maliciosos. En 2022, una vulnerabilidad de escalada de privilegio similar (CVE-2021-21551) en otro conductor de Dell, DBUTIL_2_3.SYS, también fue explotado como parte de los ataques de BYOVD por el grupo Lázaro vinculado a Corea del Norte para apagar los mecanismos de seguridad.
«Una vez que el controlador vulnerable está instalado en el sistema, TCEB ejecuta un bucle en el que verifica cada dos segundos por la presencia de un archivo de carga útil con un nombre específico en el directorio actual: la carga útil puede no estar presente al momento de iniciar la herramienta», dijo el investigador de Kaspersky, Andrey Gunkin.
Si bien los artefactos de carga útil no están disponibles, un análisis adicional ha determinado que están encriptados usando AES-128 y que están decodificados y ejecutados tan pronto como aparecen en la ruta especificada.
«Para detectar la actividad de tales herramientas, se recomienda monitorear los sistemas para eventos de instalación que involucran a conductores con vulnerabilidades conocidas», dijo Kaspersky. «También vale la pena monitorear los eventos asociados con la carga de símbolos de depuración del kernel de Windows en dispositivos donde no se espera la depuración del núcleo del sistema operativo».