Post #4314

Котоловушка APT-группа ToddyCat использовала дыру в ESET для скрытой загрузки зловреда через подмену системной библиотеки. Фокус в DLL hijacking. Сканер командной строки ESET цеплял version.dll из текущей папки, а не системной. ToddyCat подсовывали туда свою DLL с малварью TCESB. Эта штука отключала алерты безопасности на уровне ядра и эксплуатировала уязвимый драйвер Dell для kernel-доступа. Поддельная version.dll при этом работала как прокси для настоящей, чтобы не палиться. Хотя атакующим нужны были права админа, сама схема обхода защиты через легитимные компоненты заслуживает внимания. НеКасперский