Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Malware de TCESB

Malware de TCESB

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:
Español

Se ha observado que un actor de amenazas con afiliación china, conocido por sus ciberataques en Asia, explota una vulnerabilidad en el software de seguridad de ESET para distribuir un malware no documentado previamente, cuyo nombre en código es TCESB. Este malware recién descubierto está diseñado para eludir las medidas de seguridad y ejecutar cargas útiles sin ser detectado.

ToddyCat: una amenaza persistente en Asia

ToddyCat, un grupo de amenazas avanzadas, ha estado activo desde al menos diciembre de 2020, atacando a múltiples entidades en Asia. Investigaciones recientes sobre sus actividades revelaron el uso de diversas herramientas para mantener el acceso persistente a sistemas comprometidos y recopilar grandes cantidades de datos de organizaciones en la región Asia-Pacífico.

Explotando la falla: la técnica de secuestro de DLL

Investigadores de seguridad que investigaron incidentes relacionados con ToddyCat a principios de 2024 descubrieron un archivo DLL sospechoso, "version.dll", en el directorio temporal de varios dispositivos comprometidos. Este archivo, identificado como TCESB, se implementó mediante el secuestro de órdenes de búsqueda de DLL, que permite a los atacantes controlar la ejecución de programas mediante la sustitución de archivos DLL legítimos.

El ataque aprovecha una falla en el escáner de línea de comandos de ESET, que carga de forma insegura el archivo «version.dll». En lugar de cargar la versión legítima desde los directorios del sistema, primero revisa el directorio actual, lo que permite a los atacantes introducir su propia DLL maliciosa.

CVE-2024-11859: La vulnerabilidad explotada

Esta vulnerabilidad, identificada como CVE-2024-11859 (puntuación CVSS: 6,8), permitía a atacantes con privilegios de administrador ejecutar código inseguro. Sin embargo, la falla en sí no otorgaba privilegios elevados; los atacantes ya necesitaban acceso de administrador para explotarla. ESET corrigió la vulnerabilidad en enero de 2025 y publicó actualizaciones para sus productos de seguridad para consumidores, empresas y servidores en Windows.

Armando EDRSandBlast: Cómo la TCESB desactiva las protecciones de seguridad

TCESB es una versión modificada de la herramienta de código abierto EDRSandBlast. Manipula las estructuras del kernel para desactivar mecanismos de seguridad como las rutinas de notificación (devoluciones de llamada), funciones clave que alertan a los controladores del sistema sobre eventos críticos, como la creación de procesos o cambios en el registro.

Para lograrlo, TCESB emplea la conocida técnica "Bring Your Own Vulnerable Driver" (BYOVD), que instala un controlador Dell vulnerable (DBUtilDrv2.sys) a través del Administrador de dispositivos. Este controlador está afectado por CVE-2021-36276, una vulnerabilidad de escalada de privilegios.

Controladores Dell: un punto débil recurrente

Esta no es la primera vez que se abusa de los controladores de Dell en ciberataques. En 2022, el grupo Lazarus, vinculado a Corea del Norte, explotó otra vulnerabilidad de los controladores de Dell (CVE-2021-21551) para desactivar los mecanismos de seguridad. Los atacantes siguen utilizando controladores obsoletos o vulnerables para eludir las medidas de seguridad.

Estrategia de ejecución de TCESB

Una vez instalado el controlador vulnerable, TCESB busca continuamente cada dos segundos un archivo de carga útil con un nombre específico en el directorio actual. Si la carga útil no está presente inicialmente, TCESB espera hasta que aparezca. La carga útil, cifrada con AES-128, se decodifica y se ejecuta.

Medidas de detección y prevención

  • Para contrarrestar estas amenazas, los equipos de seguridad deben:
  • Supervisar los eventos de instalación de controladores, especialmente aquellos que involucran controladores vulnerables.
  • Esté atento a actividades sospechosas de depuración del kernel, particularmente en sistemas donde no se espera la depuración del kernel.
  • Asegúrese de que todo el software de seguridad esté actualizado, incluidos los parches para las vulnerabilidades conocidas.
  • Restrinja los privilegios de administrador para evitar que los atacantes exploten dichas vulnerabilidades.

A medida que los actores de amenazas cibernéticas continúan evolucionando, mantenerse alerta e implementar medidas de seguridad proactivas es crucial para defenderse de ataques sofisticados como los realizados por ToddyCat.

Tendencias

Estafa por correo electrónico de Airdrop de USDT de...

Suplantación de identidad (phishing), Correo basura
Con el auge de las criptomonedas, los estafadores han desarrollado tácticas cada vez más engañosas para engañar a los usuarios y lograr que regalen sus activos digitales. Una de estas estafas es la estafa por correo electrónico de USDT Airdrop de VoxFlowG, que se aprovecha de personas desprevenidas prometiéndoles Tether (USDT) gratis. Esta táctica está diseñada para recolectar fondos de las...

Mas Visto

Cargando...