某APT组织利用ESET漏洞部署恶意软件

卡巴斯基研究人员披露，被追踪为"ToddyCat"的APT组织利用ESET软件漏洞（CVE-2024-11859）隐秘执行恶意软件，成功规避安全防护。该漏洞属于DLL搜索顺序劫持类型，可使具备管理员权限的攻击者加载恶意动态链接库并执行代码。

技术分析显示，攻击者通过该漏洞部署了名为TCESB的C++工具。这款此前未公开的恶意工具采用以下技术手段：

1. DLL代理技术（Hijack Execution Flow, T1574）：恶意DLL导出合法version.dll的所有函数，实际将调用重定向至原版DLL，使宿主程序正常运行的同时在后台执行恶意代码

2. 自带漏洞驱动（BYOVD）：通过设备管理器安装存在漏洞的戴尔驱动（CVE-2021-36276）规避检测

3. 内存加载技术：等待特定payload文件后，使用文件内嵌的AES-128密钥解密并内存执行

4. 支持无扩展名加密payload（如kesp/ecore）并记录详细操作日志

卡巴斯基在2024年初调查ToddyCat攻击活动时首次发现该工具，其报告指出："ESET命令行扫描器（ecls）存在不安全加载机制，会优先检查当前目录而非系统目录的version.dll，导致TCESB被加载"。该漏洞已于2025年1月由ESET修复。

ESET在安全公告中说明："在安装受影响产品的系统上，攻击者可向特定目录植入恶意动态链接库（DLL），当运行ESET命令行扫描器时，程序将错误加载该恶意库而非系统原版库。"

公告特别强调："该技术不会提升攻击权限——实施此攻击的前提是攻击者已获得管理员权限。"

原文始发于微信公众号（黑猫安全）：某APT组织利用ESET漏洞部署恶意软件