Поделиться
Китайские хакеры научились взламывать компьютеры через «дыру» в антивирусном сканере ESET
Проблема в сканере ESET позволяла незаметно вторгаться в чужие сети и выводить промышленные объемы данных из них. Проблема устранена, но могут найтись другие.
Между строк
«Лаборатория Касперского» задокументировала ранее неизвестный вредонос, которым не позднее начала прошлого года начала пользоваться APT-группировка ToddyCat.
Вредоносная программа TCESB, выполненная в виде 64-разрядной DLL-библиотеки, представляет собой «комплексный инструмент», предназначенный для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.
Загрузка вредоноса осуществляется, по данным экспертов «Лаборатории», с помощью уязвимости в защитном продукте ESET.
«Мы изучили системные директории на устройствах, где были найдены вредоносные DLL-библиотеки. На одном из них в той же папке, что и TCESB, находился исполняемый файл без расширения с именем ecls. Мы полагаем, что оператор при переносе файлов на устройство ошибся в имени файла и перенес две его копии. После выполнения вредоносной активности файл с расширением был удален, а второй остался в системе. Этот файл оказался компонентом EPP-решения ESET — сканером, запускаемым из командной строки (ESET Command line scanner)», - говорится в аналитической публикации «Лаборатории Касперского».
Информация о проблеме была передана в ESET. Вендор признал проблему, присвоил уязвимости индекс CVE-2024-11859 и в конце января этого года выпустил обновленную версию ecls.
Сказано же: доработать напильником
Что касается TCESB, то, как установили эксперты, это доработанная версия другого вредоносного инструмента - EDRSandBlast, предназначенного для обхода защитных решений. Судя по коду, TCESB был создан между 13 августа 2022 и 6 октября 2023 гг.
Среди нововведений - способность модифицировать структуры ядра операционной системы, чтобы отключать уведомления о системных событиях Windows.
«Чтобы изменить структуры ядра, в которых хранятся обратные вызовы, используемые для оповещения приложений о системных событиях, инструмент TCESB применяет технику BYOVD (Bring Your Own Vulnerable Driver, Exploitation for Defense Evasion, T1211), - пишут исследователи. - Для этого он устанавливает в системе уязвимый драйвер через интерфейс Диспетчера устройств (Device Manager), используя INF-файл с информацией, необходимой для установки. Инструмент TCESB использует драйвер утилиты Dell DBUtilDrv2.sys, который содержит уязвимость CVE-2021-36276. Он предназначен для обновления драйверов, BIOS и микропрограммы ПК».
После установки уязвимого драйвера, TCESB начинает каждые две секунды проверять наличие в текущей директории файла полезной нагрузки с определенным именем. По мнению экспертов, это позволяет оператору убедиться, что инструмент отработал без ошибок, чтобы перенести файл полезной нагрузки без риска его обнаружения. Кстати, самим специалистам «Лаборатории» перехватить такие файлы не удалось.
APT-группа ToddyCat «прославилась» в основном атаками на государственные организации в Азиатско-Тихоокеанском регионе, в том числе имеющие отношение к оборонному производству.
Одна из главных целей группы - кража конфиденциальной информации, причем осуществляется это в «промышленных» масштабах, что указывает на автоматизацию процессов.
«Для столь интенсивного вывода данных требуется обеспечение максимальной незаметности и как можно более длительного присутствия в атакованной инфраструктуре», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. «При этом связанные с обороной предприятия заведомо будут обладать повышенной защитой. Все это делает использование уязвимых драйверов, относящихся к защитным средствам, развернутым в ней, наиболее логичным подходом».
Эксперт добавила, что само существование таких инструментов, как EDRSandBlast, указывает на то, что EDR - средства детектирования и реагирования на киберинциденты - содержат немало слабых мест, и слепо надеяться на них чревато проблемами.
Поделиться
Короткая ссылка
