- Касперский наблюдал за угрозой -актером по имени Тоддикат, который неправильно использовал ошибку в решении кибербезопасности ESET
- Группа использовала ошибку, которая в настоящее время использовалась для предоставления кусочка вредоносного ПО, называемого TCESB,
- Пользователям рекомендуется исправлять свои системы и контролировать угрозы
Исследователи говорят, что компонент решения для защиты от конечных точек ESET подвергается использованию скрытных вредоносных программ на устройствах Windows.
В углубленном отчете, который был опубликован в начале этой недели, исследователи безопасности из Касперского заявили, что они увидели критическую восприимчивость к сканеру командной строки ESET для предоставления инструмента под названием TCESB.
Уязвимость, идентифицированная как CVE-2024-11859, позволила злоумышленникам похитить процесс загрузки системных библиотек путем обычной загрузки сканера ESET. Вместо того, чтобы получить доступ к законным библиотекам из системных каталогов, сканер первоначально будет смотреть в своем текущем списке работы, который позволил классическому подходу «Принести свой собственный визуализируемый тривер».
Таять
Группа, стоящая за атакой, называется Тоддикатом. Это продвинутая группа для постоянных угроз (APT), которая впервые наблюдалась в 2021 году. Она известна тем, что имеет дело с правительственными и военными организациями, дипломатическими подразделениями и критическими инфраструктурами. Цели в основном в Азии и Европе, и есть некоторые признаки того, что это может быть либо китайский, либо в Китае. Однако это не было подтверждено.
В этом случае исследователи не обсуждали жертв, их отрасль или местоположение. Тем не менее, было сказано, что Тоддикат смог разместить вредоносный вариант версии.
Улвнативное ПО TCESB — это модифицированная версия инструмента с открытым исходным кодом под названием EdrsandBlast, Kaspersky, дополнительно объяснил, что он содержит функции, которые могут изменить основные структуры ОС и деактивировать обратные вызовы (процедуры уведомления).
ESET исправил ошибку в январе 2025 года после ответственного раскрытия. Компании, которые используют это популярное решение для защиты конечных точек, просят обновить свои системы как можно скорее и точно контролировать свои конечные точки:
«Чтобы распознавать деятельность таких инструментов, рекомендуется контролировать системы монтажных событий, в которых участвуют водители с известными слабыми точками», — сказал Касперский. «Также стоит контролировать события, которые не следует ожидать при загрузке Windows -Kernel -Kernel -Кернел -Дбуг -икон на устройствах, на которых отладка ядра операционной системы не ожидается».
Вы также могли бы понравиться
