Группировка ToddyCat вновь проявила изобретательность, собрав из легитимных компонентов настоящий конструктор для скрытого взлома Windows.
В центре атаки — инструмент TCESB, который маскировался под безобидную библиотеку version.dll и запускался внутри компонента антивируса ESET.
Всё выглядело как обычная системная работа, пока на деле происходило тихое выполнение вредоносного кода.
Ключом к обходу защиты стала ошибка в сканере ESET, позволявшая загружать библиотеки из текущей директории. В связке с модифицированным кодом из проекта EDRSandBlast это дало злоумышленникам способ незаметно внедриться в систему. TCESB изучал версию Windows и подбирал ключи к ядру с помощью встроенных таблиц и официальных символов от Microsoft.
Самым эффектным моментом стало использование легитимного, но уязвимого драйвера Dell. Через технику BYOVD (Bring Your Own Vulnerable Driver) TCESB устанавливал DBUtilDrv2.sys, получал доступ к ядру и запускал полезную нагрузку прямо из памяти, шифруя её под завязку. Файлы назывались невинно — ecore и kesp — и не имели расширений.
По данным «Лаборатории Касперского», инструмент создавался с явным прицелом на долгосрочное скрытое присутствие. Эксперты советуют быть бдительными: следить за драйверами, цифровыми подписями и отладочными запросами. Особенно в системах, где вроде бы всё спокойно — но на самом деле уже идёт невидимая игра на выживание.
В центре атаки — инструмент TCESB, который маскировался под безобидную библиотеку version.dll и запускался внутри компонента антивируса ESET.
Всё выглядело как обычная системная работа, пока на деле происходило тихое выполнение вредоносного кода.
Ключом к обходу защиты стала ошибка в сканере ESET, позволявшая загружать библиотеки из текущей директории. В связке с модифицированным кодом из проекта EDRSandBlast это дало злоумышленникам способ незаметно внедриться в систему. TCESB изучал версию Windows и подбирал ключи к ядру с помощью встроенных таблиц и официальных символов от Microsoft.
Самым эффектным моментом стало использование легитимного, но уязвимого драйвера Dell. Через технику BYOVD (Bring Your Own Vulnerable Driver) TCESB устанавливал DBUtilDrv2.sys, получал доступ к ядру и запускал полезную нагрузку прямо из памяти, шифруя её под завязку. Файлы назывались невинно — ecore и kesp — и не имели расширений.
По данным «Лаборатории Касперского», инструмент создавался с явным прицелом на долгосрочное скрытое присутствие. Эксперты советуют быть бдительными: следить за драйверами, цифровыми подписями и отладочными запросами. Особенно в системах, где вроде бы всё спокойно — но на самом деле уже идёт невидимая игра на выживание.
