Al explotar las debilidades de los escáneres de línea de comandos de Eset, Toddycat desplegó sigilosamente el código malicioso en los sistemas objetivo utilizando estrategias de ataque sofisticadas.
Una vulnerabilidad que actualmente se rastrea como CVE-2024-11859 permitió a un atacante evitar la herramienta de monitoreo de seguridad al ejecutar una carga útil maliciosa en el contexto de una solución de seguridad confiable.
A principios de 2024, los investigadores detectaron un archivo sospechoso llamado “versión.dll” en el directorio TEMP de múltiples dispositivos comprometidos.
Un análisis posterior revela que estos archivos son componentes de una herramienta compleja llamada TCEB, y están específicamente diseñados para eludir los mecanismos de protección y las herramientas de monitoreo.
Esta herramienta, previamente invisible en el arsenal de Toddycat, explotó una vulnerabilidad en el escáner de línea de comandos de ESET (ECLS) que cargó de manera inquisitiva los archivos DLL.
ESET registró la vulnerabilidad como CVE-2024-11859, lanzó un parche el 21 de enero de 2025 y lanzó un aviso de seguridad el 4 de abril.
Análisis técnico de la cadena de exploits
Kaspersky informa que los atacantes han adoptado una técnica conocida como proxy DLL (clasificada como T1574 en el marco Mitre ATT & CK) para ejecutar código malicioso.
La herramienta TCEB está diseñada para exportar todas las características de una versión legítima.
El Exploit utilizó el mecanismo de carga inestable del escáner de línea de comandos ESET, que busca el archivo de versión.dll en el directorio actual antes de mirar el directorio del sistema.
Esta vulnerabilidad provocó que la DLL maliciosa se cargara en lugar de la DLL legítima.
Diagrama esquemático de las operaciones de herramientas
El análisis reveló que TCEB se basa en la herramienta de código abierto edrsandblast y se ha modificado para mejorar la funcionalidad.
El malware puede modificar la estructura del núcleo de Windows para deshabilitar las rutinas de notificación para eventos importantes del sistema, como la creación de procesos.
Para mejorar sus capacidades sigilosas, TCEB adoptó la técnica traer su propia técnica Wulnerable Driver (BYOVD) (T1211) utilizando específicamente el controlador DELL DBUTIRDRV2.SYS, que tiene la vulnerabilidad de CVE-2021-36276. Esto permitió al atacante realizar operaciones privilegiadas a nivel del núcleo.
Fragmentos de código de descompilación para instalar controladores TCEB
Mecanismo de ejecución de carga útil
La herramienta implementó un sistema sofisticado para la ejecución de la carga útil, verificando cada 2 segundos para un archivo en particular llamado “Kesp” o “Ecore” en el directorio actual.
Una vez detectados, estos archivos se descifraron utilizando el cifrado AES-128, y la clave de descifrado se guardó en los primeros 32 bytes del archivo de carga útil.
Este enfoque de varias etapas demuestra la sofisticada seguridad operativa de Toddycat. Crearon un sistema que permite que las cargas se implementen solo después de confirmar que la penetración inicial fue exitosa.
Los expertos en seguridad recomiendan sistemas de monitoreo para eventos de instalación que contengan conductores con vulnerabilidades conocidas.
Recursos como el Proyecto Loldrivers pueden ayudar a identificar tales impulsores. Además, las organizaciones deben monitorear eventos de carga de símbolos de depuración del núcleo de Windows, especialmente en dispositivos donde no se espera la depuración del kernel.
El incidente destaca las tácticas en evolución de los actores de amenaza sofisticados que continúan encontrando nuevas formas de utilizar un software confiable, e incluso las soluciones de seguridad, para mantener el acceso sostenido y no detectado a los sistemas objetivo.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
