臭名昭著的 APT 组织 ToddyCat 使用复杂的攻击策略，通过利用 ESET 命令行扫描程序中的弱点，在目标系统中秘密部署恶意代码。

该漏洞现已被编号为 CVE-2024-11859，攻击者借助此漏洞，在受信任的安全解决方案环境内执行恶意负载，从而绕过安全监控工具。

2024 年初，调查人员在多个受感染设备的临时目录中发现了名为 “version.dll” 的可疑文件。

进一步分析表明，这些文件是一款名为 TCESB 的复杂工具的组成部分，专门用于绕过防护机制和监控工具。

此前，ToddyCat 的攻击手段中并未出现过这款工具。它利用了 ESET 命令行扫描器（ecls）在加载动态链接库（DLL）文件时存在的不安全漏洞。

ESET 将该漏洞登记为 CVE-2024-11859，并于 2025 年 1 月 21 日发布了补丁，同时在 4 月 4 日发布了安全公告。

攻击链的技术分析

卡巴斯基报告称，攻击者运用了一种名为 DLL 代理（在 MITRE ATT&CK 框架中分类为 T1574）的技术来执行其恶意代码。

TCESB 工具旨在导出合法 version.dll 文件的所有功能，但在后台运行恶意作时将调用重定向到原始 DLL。

该漏洞利用了 ESET 命令行扫描程序的不安全加载机制，该机制在查找系统目录之前在当前目录中搜索 version.dll 文件。

此漏洞允许加载恶意 DLL 而不是合法 DLL。

分析显示，TCESB 基于开源工具 EDRSandBlast 进行了修改，以扩展其功能。

该恶意软件能够修改 Windows 内核结构，从而禁用诸如进程创建等关键系统事件的通知程序。

增强隐身能力

为增强其隐身能力，TCESB 采用了自带易受攻击驱动程序（BYOVD）技术（T1211），特别是使用存在 CVE-2021-36276 漏洞的 Dell DBUtilDrv2.sys 驱动程序。这使得攻击者能够在内核层面执行特权操作。

有效负载执行机制

该工具实施了一套复杂的有效负载执行系统，每两秒检查一次当前目录中是否存在名为 “kesp” 或 “ecore” 的特定文件。

一旦检测到这些文件，就会使用 AES-128 加密算法对其进行解密，解密密钥存储在有效负载文件的前 32 字节中。

这种多阶段的攻击方式体现了 ToddyCat 成熟的运营安全策略。他们构建了一个系统，只有在确认初始渗透成功后，才会部署有效负载。

安全专家建议对涉及已知漏洞驱动程序的安装事件进行系统监控。

像 loldrivers 项目这样的资源有助于识别此类驱动程序。此外，各组织应监控 Windows 内核调试符号加载事件，特别是在那些预计不会进行内核调试的设备上。

这一事件凸显了高级威胁行为者不断演变的攻击策略，他们持续寻找新方法来利用受信任的软件，甚至是安全解决方案本身，以持续且隐蔽地访问目标系统。