摘要：臭名昭著的高级持续性威胁（APT）组织ToddyCat近期采用了一种复杂的攻击策略，通过利用ESET命令行扫描器中的安全漏洞，将恶意代码悄无声息地植入目标系统。

臭名昭著的高级持续性威胁（APT）组织ToddyCat近期采用了一种复杂的攻击策略，通过利用ESET命令行扫描器中的安全漏洞，将恶意代码悄无声息地植入目标系统。

该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载，从而绕过安全监测工具的检测。

2024年初，调查人员在多台被入侵设备的临时目录中发现名为“version.dll”的可疑文件。进一步分析确认，这些文件是一个名为TCESB的复杂攻击工具的组成部分，专为规避安全机制与监控系统而开发。

这一工具此前未在ToddyCat的武器库中出现过，其主要利用了ESET命令行扫描器（ecls）在加载DLL文件时的安全缺陷。ESET已将该问题注册为CVE-2024-11859，并于2025年1月21日发布补丁，随后于4月4日发布安全公告。

漏洞利用链的技术分析

攻击者使用了MITRE ATT&CK框架中T1574类别的技术——DLL代理（DLL Proxying），借此执行恶意代码。TCESB工具导出所有合法version.dll文件的函数接口，但在后台重定向调用至原始DLL的同时执行恶意操作。

该漏洞利用了ESET命令行扫描器的不安全加载机制：该程序在查找version.dll时会优先搜索当前目录，再搜索系统目录。因此，攻击者可以将恶意DLL文件伪装为version.dll，从而被程序优先加载。

分析还显示，TCESB基于开源工具EDRSandBlast修改而来，在其功能上进行了拓展。恶意程序可修改Windows内核结构，禁用关键系统事件（如进程创建）的通知机制。

为了进一步提升隐蔽性，TCESB还采用了“自带易受攻击驱动程序”（BYOVD，T1211）的方式，使用存在CVE-2021-36276漏洞的Dell驱动程序DBUtilDrv2.sys，在内核层执行高权限操作。

负载执行机制

该工具实现了一个复杂的负载执行系统，每隔两秒检查当前目录中是否存在名为“kesp”或“ecore”的特定文件。一旦发现，便使用AES-128加密算法进行解密，解密密钥则存储在载荷文件的前32字节内。

这一多阶段执行机制展现了ToddyCat在作战安全性方面的高度专业性。攻击者确保仅在渗透成功后才部署真正的负载，有效提升了攻击的隐蔽性和持久性。

安全建议：应重点监控系统中涉及使用已知漏洞驱动程序的安装行为。资源平台如loldrivers项目可用于识别这类驱动。同时，还应监测Windows系统中内核调试符号加载事件，尤其是在无需进行内核调试的设备上。

这一事件再次凸显出高级威胁行为者战术的不断演进：他们甚至能够利用受信任的安全软件，长期、隐蔽地控制目标系统。

来源：Web3软件开发一点号