Обнаружена уязвимость в сканере безопасности ESET: злоумышленники используют ее для распространения вредоносного ПО TCESB

В отчете Kaspersky говорится, что группа злоумышленников под названием ToddyCat использовала уязвимость в антивирусном решении ESET для распространения вредоносного ПО. Группа воспользовалась устраненной ошибкой для развертывания вредоносного ПО под названием TCESB. Пользователям рекомендуется обновить свои системы и отслеживать угрозы.

Исследователи Kaspersky обнаружили критическую уязвимость в сканере командной строки ESET, которую злоумышленники использовали для установки вредоносного инструмента TCESB. Уязвимость, идентифицированная как CVE-2024-11859, позволяла злоумышленникам перехватить процесс загрузки системных библиотек, злоупотребляя тем, как сканер ESET обычно загружает их. Вместо извлечения законных библиотек из системных каталогов сканер сначала искал их в своем текущем рабочем каталоге, что позволяло использовать классический подход «принеси свой собственный уязвимый драйвер».

Группой, стоящей за атакой, является ToddyCat. Это группа APT (Advanced Persistent Threat), впервые обнаруженная в 2021 году. Известно, что она нацеливается на правительственные и военные организации, дипломатические учреждения и критически важную инфраструктуру. Ее цели в основном расположены в Азии и Европе, и есть некоторые indications того, что она может быть китайской или связанной с Китаем.

В этом случае исследователи не раскрывали жертв, их отрасли или местонахождение. Однако говорилось, что ToddyCat смог поместить вредоносную версию version.dll рядом со сканером ESET, что заставило антивирусное средство запускать пользовательское вредоносное ПО и таким образом обходить стандартные механизмы обнаружения безопасности.

Вредоносное ПО TCESB является модифицированной версией открытого инструмента EDRSandBlast, Kaspersky далее пояснил, что оно включает функции, изменяющие структуры ядра ОС, и может отключать вызовы обратного (уведомления). ESET устранил ошибку в январе 2025 года после ответственного раскрытия. Организациям, использующим это популярное решение для защиты конечных точек, настоятельно рекомендуется обновить свои системы как можно скорее и внимательно следить за своими конечными точками.

Для обнаружения активности таких инструментов рекомендуется отслеживать системы на предмет событий установки драйверов с известными уязвимостями, - сказал Kaspersky. Также стоит отслеживать события, связанные с загрузкой символов отладки ядра Windows на устройствах, где не ожидается отладка ядра операционной системы.