- Kaspersky observeerde een dreigingsacteur die Toddycat noemde die een bug misbruikte in de cybersecurity -oplossing van ESET
- De groep gebruikte een nu geëxciteerde fout om een stuk malware te implementeren met de naam TCESB
- Gebruikers wordt geadviseerd om hun systemen te patchen en te controleren op bedreigingen
Een onderdeel van ESET’s eindpuntbeschermingsoplossing werd misbruikt om stealthy malware op Windows -apparaten te lanceren, zeggen onderzoekers.
In een diepgaand rapport dat eerder deze week werd gepubliceerd, zeiden beveiligingsonderzoekers van Kaspersky dat ze een kritieke kwetsbaarheid zagen in de command-line scanner van ESET die werd misbruikt om een tool met de naam TCESB te implementeren.
De kwetsbaarheid, nu geïdentificeerd als CVE-2024-11859, konden aanvallers het laadproces van systeembibliotheken kapen door te misbruiken hoe de ESET-scanner ze meestal laadt. In plaats van legitieme bibliotheken uit systeemmappen op te halen, zou de scanner eerst kijken in zijn huidige werkmap, waardoor een klassieke “Breng je eigen kwetsbare bestuurder” -benadering mogelijk was.
Toddycat
De groep achter de aanval wordt Toddycat nagesynchroniseerd. Het is een Advanced Persistente Threat (APT) -groep, voor het eerst waargenomen in 2021. Het staat bekend om het richten van overheids- en militaire organisaties, diplomatieke entiteiten en kritische infrastructuur. De doelen zijn meestal gevestigd in Azië en Europa, en er zijn enkele aanwijzingen dat het ofwel Chinees of China-uitgelijnd kan zijn. Dit werd echter niet bevestigd.
In dit geval hebben de onderzoekers de slachtoffers, hun branche of locatie niet besproken. Er werd echter gezegd dat Toddycat in staat was om een kwaadwillende variant van versie te plaatsen. Naast ESET’s scanner, die het endpoint -beschermingstool dwong om de aangepaste malware uit te voeren en dus standaardbeveiligingsdetectiemechanismen te omzeilen.
De TCESB-malware is een aangepaste versie van een open-source tool genaamd EDRSandBlast, Kaspersky legde verder uit, en zei dat het functies bevat die de OS-kernelstructuren veranderen en callbacks kunnen uitschakelen (meldingsroutines).
ESET heeft de fout in januari 2025 gevestigd na verantwoordelijke openbaarmaking. Organisaties die deze populaire oplossing voor eindpuntbescherming gebruiken, worden aangespoord om hun systemen zo snel mogelijk bij te werken en hun eindpunten nauwlettend te volgen:
“Om de activiteit van dergelijke tools te detecteren, wordt het aanbevolen om systemen te controleren op installatie -evenementen waarbij stuurprogramma’s met bekende kwetsbaarheden betrokken zijn,” zei Kaspersky. “Het is ook de moeite waard om gebeurtenissen te bewaken die zijn gekoppeld aan het laden van Windows Kernel Debug -symbolen op apparaten waar foutopsporing van de kernel van het besturingssysteem niet wordt verwacht.”
Via The Hacker News
