СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.04.2025
#ИБ#Инфра

Методы сокрытия ToddyCat APT: анализ уязвимостей TCESB

Методы сокрытия ToddyCat APT: анализ уязвимостей TCESB

Источник: securelist.com

Группа ToddyCat APT продолжает совершенствовать свои методы сокрытия вредоносной деятельности в зараженных системах, применяя сложные стратегии, такие как DLL-прокси. В начале 2024 года аналитики зафиксировали использование 64-разрядной библиотеки DLL с именем version.dll, которая была выявлена во временных каталогах на нескольких устройствах и ранее не связывалась с этой APT группой. Этот инструмент, обозначаемый как TCESB, позволяет злоумышленникам обходить существующие механизмы защиты и мониторинга, исполняя свои полезные нагрузки скрытно.

Принцип работы TCESB

TCESB работает на основе технологии DLL-проксирования и использует методы, такие как T1574 (перехват потока выполнения). Этот механизм позволяет эксплуатировать легитимные библиотеки DLL, перенаправляя вызовы на вредоносные реализации и тем самым оставаясь незамеченным. Основными особенностями работы TCESB являются:

  • Использование уязвимых приложений, которые не проверяют местоположение загружаемых библиотек;
  • Способность загружать вредоносные библиотеки DLL вместо законных;
  • Наличие уязвимости в библиотеке сканера командной строки ESET.

Во время расследования была обнаружена вторая версия version.dll вместе с вредоносным вариантом. Эта находка свидетельствует о проблемах с безопасностью приложений, которые были защищены ненадлежащим образом. ESET вскоре признала уязвимость как CVE-2024-11859 и выпустила обновление для ее устранения.

Методы уклонения от обнаружения

TCESB также направлен на использование уязвимости CVE-2021-36276, которая была найдена в драйвере Dell DBUtilDrv2.sys, для получения привилегий на уровне ядра. Эти привилегии позволяют группе изменять структуру ядра и отключать процедуры уведомления о событиях, включая уведомления, связанные с созданием процессов.

Процесс работы TCESB включает:

  • Извлечение информации о версии ядра;
  • Сравнение с ресурсами через файлы CSV или PDB для определения необходимых смещений;
  • Установку уязвимого драйвера через диспетчер устройств.

Безопасность и рекомендации

Данное исследование подчеркивает важность для организаций следить за событиями установки драйверов, которые связаны с известными уязвимостями, а также проверять наличие непроверенных цифровых подписей в загружаемых системных библиотеках. Применение таких упреждающих мер является критически важным для:

  • Обнаружения скрытых угроз;
  • Снижения риска атак со стороны APT групп.

Группа ToddyCat продолжает развивать свои методологии атак, и организации должны оставаться бдительными в условиях постоянно меняющегося ландшафта киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: