Schwachstelle im ESET Security Scanner aktiv ausgenutzt
Eine chinesisch gesteuerte Hackergruppe nutzt gezielt eine Schwachstelle in der Sicherheitssoftware von ESET, um eine bislang unbekannte Schadsoftware mit dem Codenamen TCESB in Umlauf zu bringen – ein raffinierter Angriff mitten ins Herz der IT-Sicherheit.
Die Schadsoftware TCESB, die bisher nicht in Verbindung mit ToddyCat beobachtet wurde, ist darauf ausgelegt, gezielt Schadcode auszuführen – und zwar unbemerkt von den auf dem System installierten Schutz- und Überwachungstools“, so eine aktuelle Analyse von Kaspersky.
Die Hackergruppe ToddyCat, die seit mindestens Dezember 2020 aktiv ist, hat es insbesondere auf Unternehmen im asiatisch-pazifischen Raum abgesehen. Bereits im vergangenen Jahr hatte Kaspersky beschrieben, wie die Gruppe mit einer Reihe von Tools dauerhaften Zugriff auf kompromittierte Umgebungen aufbaut und dabei Daten in industriellem Maßstab abzieht.
Im Zuge neuer Untersuchungen Anfang 2024 stießen die Sicherheitsexperten auf eine verdächtige Datei namens „version.dll“ im temporären Verzeichnis mehrerer betroffener Systeme. Dabei handelt es sich um eine 64-Bit-DLL, hinter der sich TCESB verbirgt. Die Schadsoftware wird über eine Technik namens DLL Search Order Hijacking gestartet, um die Kontrolle über den Ausführungsprozess zu übernehmen.
So läuft der Angriff
Der Angriffsweg läuft über eine Schwachstelle im ESET Command Line Scanner, der die Datei „version.dll“ zunächst im aktuellen Verzeichnis und erst danach in den offiziellen Systemverzeichnissen sucht. Die echte „version.dll“ ist eigentlich eine legitime Microsoft-Bibliothek für Versionsprüfungen und Dateiinstallationen und befindet sich normalerweise in C:\Windows\system32 oder C:\Windows\SysWOW64.
Durch diese fehlerhafte Ladepriorisierung kann jedoch eine manipulierte Version der Datei ausgeführt werden. Die Lücke ist unter CVE-2024-11859 registriert und wurde von ESET im Januar 2025 nach einer verantwortungsvollen Offenlegung geschlossen. Laut Hersteller konnten Angreifer dadurch zwar schadhaften Code einschleusen, benötigten jedoch bereits Administratorrechte, um den Angriff auszuführen.
In einer offiziellen Stellungnahme bestätigte ESET, dass mittlerweile aktualisierte Produktversionen für Privatanwender, Unternehmen und Server unter Windows zur Verfügung stehen.
Technisch basiert TCESB auf dem Open-Source-Tool EDRSandBlast, wurde jedoch weiterentwickelt und mit zusätzlichen Funktionen versehen. So kann die Malware gezielt in Kernel-Strukturen des Betriebssystems eingreifen, etwa um Benachrichtigungsroutinen (Callbacks) auszuschalten. Diese Routinen werden eigentlich verwendet, um sicherheitsrelevante Ereignisse wie die Erstellung eines Prozesses oder das Ändern von Registrierungsschlüsseln an Sicherheitstools zu melden.
Um diese tiefgreifenden Manipulationen durchführen zu können, setzt TCESB auf eine bekannte Taktik namens Bring Your Own Vulnerable Driver (BYOVD). Dabei wird ein anfälliger Treiber – in diesem Fall „DBUtilDrv2.sys“ von Dell – über die Gerätemanager-Schnittstelle installiert. Dieser Treiber enthält eine bereits bekannte Schwachstelle zur Rechteausweitung (CVE-2021-36276), über die sich TCESB umfassenden Zugriff auf das System verschaffen kann.
Dell-Treiber bereits früher für Angriffe missbraucht
Dies ist nicht das erste Mal, dass Treiber von Dell für schädliche Zwecke missbraucht wurden. Bereits im Jahr 2022 nutzte die mit Nordkorea in Verbindung stehende Lazarus-Gruppe eine ähnliche Schwachstelle zur Rechteausweitung (CVE-2021-21551) in einem anderen Dell-Treiber (dbutil_2_3.sys) im Rahmen von BYOVD-Angriffen, um Sicherheitssysteme gezielt auszuschalten.
„Sobald der anfällige Treiber im System installiert ist, beginnt TCESB in regelmäßigen Abständen – alle zwei Sekunden – zu prüfen, ob eine bestimmte Datei im aktuellen Verzeichnis auftaucht“, so Kaspersky-Experte Andrey Gunkin. „Die eigentliche Schaddatei muss beim Start des Tools noch gar nicht vorhanden sein – die Malware bleibt aktiv und wartet darauf, dass sie nachgeliefert wird.“
Zwar liegen die eigentlichen Nutzlastdateien nicht vor, doch weiterführende Analysen zeigen, dass sie mit AES-128 verschlüsselt sind und sofort entschlüsselt und ausgeführt werden, sobald sie im angegebenen Verzeichnis erscheinen.
Zur Erkennung derartiger Aktivitäten empfiehlt Kaspersky, Systeme gezielt zu überwachen – insbesondere:
- Installationsereignisse von Treibern mit bekannten Schwachstellen,
- sowie Ladevorgänge von Kernel-Debug-Symbolen auf Geräten, bei denen keine Kernel-Debugging-Prozesse zu erwarten sind.
Diese Maßnahmen können helfen, Angriffsversuche frühzeitig zu identifizieren und automatisierte Schadcode-Ausführung zu verhindern.