Драйвер от Dell, библиотека от ESET: хакеры ToddyCat собрали конструктор для взлома Windows

APT -группировка ToddyCat вновь напомнила о себе, применив необычный подход к сокрытию вредоносной активности. В ходе расследования инцидентов, произошедших в 2024 году, исследователи «Лаборатории Касперского» обнаружили редкий инструмент под названием TCESB — ранее не зафиксированную разработку, созданную для незаметного выполнения вредоносного кода в системах под Windows.

Чтобы обойти средства защиты, киберпреступники решили использовать доверие к антивирусному решению — вредоносный код исполнялся в контексте компонента продукта ESET.

Инструмент TCESB маскировался под стандартную системную библиотеку «version.dll», применяя технику проксирования DLL (DLL Proxying) — известный приём подмены легитимной библиотеки на вредоносную, при этом сохраняя нормальную работу основной программы.

Сама DLL, написанная на C++, экспортировала все функции оригинального файла и переадресовывала вызовы, обеспечивая при этом незаметное выполнение вредоносной логики. Однако для успеха операции требовалась ещё одна уязвимость — приложение, загружающее библиотеку из небезопасной директории.

Такой лазейкой оказался ESET Command Line Scanner, исполняемый файл которого небезопасно искал DLL-библиотеку в текущей директории перед обращением к системной. Именно этим и воспользовались злоумышленники. Проблема была признана уязвимостью CVE-2024-11859 и устранена ESET в январе 2025 года, а спустя несколько месяцев информация о ней была официально опубликована.

Подробный анализ TCESB подтвердил, что в процессе работы сканера загружались сразу две библиотеки «version.dll» — оригинальная и вредоносная. Исследование строк внутри вредоносного кода показало его родство с известным открытым проектом EDRSandBlast, предназначенным для обхода защитных решений.

ToddyCat переработали этот код, добавив новые возможности, включая отключение системных уведомлений об активностях вроде создания процессов или загрузки библиотек.

Для точного вмешательства в ядро системы инструмент сначала определял версию Windows с помощью собственной функции, после чего искал смещения нужных структур в памяти. Информацию он извлекал либо из встроенного CSV-файла, либо загружал отладочные символы (PDB) с серверов Microsoft. Такой подход позволял инструменту точно модифицировать ядро независимо от версии ОС.

Ключевым этапом атаки стало применение техники BYOVD — установки уязвимого драйвера с легитимной подписью. В данном случае использовался драйвер «DBUtilDrv2.sys» от Dell с известной уязвимостью CVE-2021-36276 . TCESB самостоятельно инсталлировал его через Device Manager, после чего получал возможность вносить изменения в критические участки ядра Windows.

Полезная нагрузка не загружалась немедленно — инструмент ждал появления нужного файла в папке и затем расшифровывал его с помощью AES-128. Ключ для расшифровки находился в первых 32 байтах файла, что дополнительно усложняло анализ и повышало скрытность. Загруженный код затем исполнялся в памяти, не оставляя следов на диске.

TCESB создавал детальный лог своих действий, фиксируя все этапы — от установки драйвера до расшифровки нагрузки. В изученных образцах обнаружены два разных имени для файлов полезной нагрузки — kesp и ecore, оба без расширения. При этом структура кода ясно указывает на планомерную подготовку атаки с расчётом на минимальный риск обнаружения.

Выводы по результатам исследования однозначны: перед исследователями — тщательно разработанный инструмент, адаптированный из открытого кода, но дополненный уникальными механизмами, позволяющими ему незаметно выполнять вредоносные действия. Его цель — не просто внедрение, а именно маскировка под легитимные компоненты и обход всех уровней защиты.

Для противодействия подобным угрозам специалисты советуют контролировать установку драйверов с известными уязвимостями, мониторить загрузку отладочных символов в системах, где отладка ядра не предполагается, а также проверять цифровые подписи у всех загружаемых системных библиотек.