根據網路安全公司卡巴斯基(Kaspersky)的最新報告,研究人員發現疑似國家支持的駭客利用ESET網路安全軟體中的一個漏洞,秘密地在目標設備上植入惡意程式碼。
漏洞細節與影響
這個被追蹤為CVE-2024-11859的漏洞允許攻擊者植入惡意動態連結程式庫(DLL)並通過ESET防毒掃描器執行它。根據卡巴斯基的報告,惡意程式在背景執行,能夠繞過系統警報並保持不被檢測。
ESET公司在上週的安全公告中確認了該漏洞並發布了修補程式,將其描述為中等嚴重性問題,CVSS評分為6.8(滿分10分)。該公司敦促用戶更新系統以防止潛在的漏洞利用。
目前尚不清楚是否有用戶受到利用ESET漏洞的攻擊影響,或者具體目標是誰。ESET在回應外媒時表示,尚未在野外發現該漏洞被利用的情況。
ToddyCat駭客組織
卡巴斯基將此攻擊活動歸因於一個名為ToddyCat的駭客組織,該組織至少從2020年開始活躍,以攻擊政府和軍事組織並竊取敏感數據而聞名。
ESET在回應中表示,「沒有掌握文章中提到的兩個惡意DLL,因此無法確認ToddyCat的歸因」。
然而,卡巴斯基的報告指出,在這次攻擊活動中,駭客將一種名為TCDSB的新工具加載到受害者的設備上,將其偽裝成合法的DLL。DLL這是Windows操作系統中常見的檔案類型。TCDSB被設計用來在避開安全和監控服務的同時,偷偷執行惡意負載。
研究人員分析指出,TCDSB源自於網路犯罪分子常用來繞過安全防護的工具EDRSandBlast。駭客修改了原始程式碼,強化了惡意軟體功能,使其能夠篡改作業系統關鍵組件並關閉系統警示,避免在建立新程序或載入檔案時通知使用者。
卡巴斯基表示在多個設備上發現了TCDSB,但未提供更多詳細資訊。ESET則補充說明:「這種技術本身不會提升權限,就表示攻擊者需要已經擁有管理員權限才能執行此攻擊。」
駭客組織背景與目標
雖然俄羅斯研究人員沒有將ToddyCat歸因於任何特定國家,
但先前的報告顯示,該組織已經攻擊過歐洲和亞洲的顯著目標,以及台灣和越南的數位基礎設施。其他研究顯示ToddyCat與「中國間諜活動」有關聯。
在卡巴斯基描述的早期攻擊活動中,ToddyCat攻擊了亞太地區的政府服務,以竊取「大量數據」。
一旦進入受害者的網路,該組織使用各種隧道方法,包括入侵VPN軟體和合法的雲端供應商。
卡巴斯基表示,通過使用不同的隧道技術,ToddyCat旨在確保如果一種數據竊取方法失敗,其他方法仍然可用。
延伸閱讀:TWCERT/CC 示警APT組織ToddyCat正竊取資料
防護建議
鑑於此漏洞的嚴重性,資安專家建議:
- 所有ESET產品用戶立即更新至最新版本
- 持續監控系統中不尋常的DLL加載活動
- 實施最小權限原則,減少管理員權限帳戶的使用
- 加強對關鍵系統的監控,特別注意針對政府和軍事機構的針對性攻擊
- 關注官方ESET安全通報以獲取最新修補資訊
這一漏洞再次提醒組織,即使是為提供保護而設計的安全軟體也可能成為攻擊向量,突顯了保持所有軟體更新對於整體安全態勢的重要性。
本文轉載自therecord.media。