CurKeep مستتر

تم التعرف على تهديد البرامج الضارة المخصصة والمعروف باسم CurKeep Backdoor باعتباره مكونًا رئيسيًا في حملة هجوم إلكتروني تم الكشف عنها مؤخرًا تسمى "Stayin' Alive". وقد ركزت هذه الحملة المستمرة، التي بدأت في عام 2021، بشكل خاص على المنظمات الحكومية ومقدمي خدمات الاتصالات في مختلف البلدان الآسيوية. يستخدم المهاجمون الذين يقفون وراء هذه الحملة مجموعة متنوعة من البرامج الضارة "التي يمكن التخلص منها" لتجنب اكتشافها.

وقد لاحظ الباحثون الأمنيون أن جزءًا كبيرًا من أهداف الحملة يقع في دول مثل كازاخستان وأوزبكستان وباكستان وفيتنام. لا تزال حملة "البقاء على قيد الحياة" نشطة ولا تزال تشكل تهديدًا.

تُنسب الهجمات الإلكترونية المرتبطة بهذه الحملة إلى مجموعة التجسس الصينية المشار إليها باسم "ToddyCat". تستخدم هذه المجموعة رسائل التصيد الاحتيالي التي تحمل مرفقات تهديدية، والتي تُستخدم لتوصيل مجموعة متنوعة من برامج تحميل البرامج الضارة والأبواب الخلفية.

يتم نشر CurKeep Backdoor من خلال تكتيكات التصيد الاحتيالي

وقد حدد الباحثون مجموعة واسعة من الأدوات المخصصة التي تستخدمها جهات التهديد، والتي يعتقدون أنها مصممة بحيث يمكن التخلص منها من أجل إحباط الاكتشاف ومنع الربط بين الهجمات المختلفة.

يبدأ الهجوم برسالة بريد إلكتروني للتصيد الاحتيالي، مصممة بعناية لاستهداف أفراد محددين داخل المؤسسات المهمة، لحثهم على فتح ملف ZIP مرفق. يوجد داخل الأرشيف ملف قابل للتنفيذ موقع رقميًا، تم تسميته بعناية ليتوافق مع سياق البريد الإلكتروني. ويحتوي أيضًا على ملف DLL تالف يستغل ثغرة أمنية (CVE-2022-23748) في برنامج Dante Discovery الخاص بـ Audinate، مما يسهل التحميل الجانبي للبرامج الضارة CurKeep على النظام المخترق.

يعد CurKeep، وهو باب خلفي خفيف الوزن يبلغ حجمه 10 كيلو بايت، مسؤولاً عن تثبيت الثبات على الجهاز المخترق. يرسل معلومات النظام إلى خادم القيادة والتحكم (C2) ثم ينتظر المزيد من التعليمات. يمتلك هذا الباب الخلفي القدرة على استخراج قائمة الدليل من ملفات البرامج الخاصة بالضحية، مما يوفر نظرة ثاقبة حول البرنامج المثبت على الكمبيوتر. يمكنه تنفيذ الأوامر وترحيل المخرجات إلى خادم C2، بالإضافة إلى أداء المهام المستندة إلى الملفات وفقًا لتوجيهات مشغليه.

بالإضافة إلى CurKeep، تستخدم الحملة أدوات أخرى، بشكل أساسي أدوات التحميل، ويتم تنفيذها من خلال طرق تحميل جانبية مماثلة لملفات DLL. ومن الجدير بالذكر من بينها مُحمل CurLu، وCurCore، وCurLog، وكل منها مجهز بوظائف فريدة وآليات إصابة.

تم تصميم عملية الجرائم الإلكترونية "البقاء على قيد الحياة" وفقًا للأهداف المحددة

يستخدم برنامج "Stayin' Alive" مجموعة من العينات والإصدارات المتميزة من هذه اللوادر والحمولات، والتي يتم تخصيصها في كثير من الأحيان لتناسب أهداف إقليمية محددة، بما في ذلك اللغة وأسماء الملفات والعناصر الموضوعية. يعتقد خبراء الأمن السيبراني أن المجموعة التي تم اكتشافها مؤخرًا ربما تكون مجرد جزء من حملة أكبر تشمل أدوات وتقنيات هجوم إضافية لم يتم الكشف عنها.

واستنادًا إلى المجموعة الواسعة من الأدوات الفريدة المستخدمة في هذه الهجمات ودرجة تخصيصها العالية، فمن الواضح أنها مصممة ليتم التخلص منها بسهولة. وعلى الرغم من الاختلافات في كود هذه الأدوات، إلا أنها جميعها تنشئ اتصالات بنفس البنية التحتية، والتي كانت مرتبطة سابقًا بـ ToddyCat، وهي مجموعة تجسس إلكترونية صينية.