CurKeep Backdoor

Персонализираната заплаха от злонамерен софтуер, известна като CurKeep Backdoor, е идентифицирана като ключов компонент в наскоро разкрита кампания за кибератаки, наречена „Stayin' Alive“. Тази текуща кампания, която започна през 2021 г., беше специално фокусирана върху правителствени организации и доставчици на телекомуникационни услуги в различни азиатски страни. Нападателите зад тази кампания използват разнообразен набор от зловреден софтуер за „еднократна употреба“, за да избегнат откриването.

Изследователите по сигурността са забелязали, че значителна част от целите на кампанията са разположени в страни като Казахстан, Узбекистан, Пакистан и Виетнам. Кампанията Stayin' Alive все още е активна и продължава да представлява заплаха.

Кибератаките, свързани с тази кампания, се приписват на китайската шпионска група, наричана „ToddyCat“. Тази група използва съобщения за фишинг, които носят заплашителни прикачени файлове, които се използват за доставяне на различни програми за зареждане на зловреден софтуер и задни вратички.

Задната врата на CurKeep се внедрява чрез тактики за фишинг

Изследователите са идентифицирали широк спектър от персонализирани инструменти, използвани от участниците в заплахите, за които смятат, че са предназначени за еднократна употреба, за да осуетят откриването и да предотвратят свързването на различни атаки.

Атаката започва с фишинг имейл, внимателно пригоден да насочва конкретни лица в критични организации, призовавайки ги да отворят прикачен ZIP файл. В рамките на архива съществува цифрово подписан изпълним файл, внимателно наименуван, за да съответства на контекста на имейла. Той също така съдържа повреден DLL, който използва уязвимост (CVE-2022-23748) в софтуера Dante Discovery на Audinate, като по този начин улеснява страничното зареждане на злонамерения софтуер CurKeep в компрометираната система.

CurKeep, лека 10kb задна вратичка, е отговорна за установяването на устойчивост на пробитото устройство. Той изпраща системна информация до сървъра за управление и управление (C2) и след това чака допълнителни инструкции. Тази задна вратичка притежава способността да ексфилтрира списък с директории от програмните файлове на жертвата, предоставяйки информация за софтуера, инсталиран на компютъра. Той може да изпълнява команди и да препредава изхода към сървъра C2, както и да изпълнява задачи, базирани на файлове, съгласно директивите на своите оператори.

В допълнение към CurKeep, кампанията използва други инструменти, предимно зареждащи устройства, изпълнявани чрез подобни DLL методи за странично зареждане. Забележителни сред тях са CurLu loader, CurCore и CurLog loader, всеки оборудван с уникални функции и механизми за заразяване.

Операцията за борба с киберпрестъпността „Stayin' Alive“ е съобразена с конкретните цели

„Stayin' Alive“ използва набор от различни образци и версии на тези зареждащи устройства и полезни товари, често персонализирани, за да отговарят на конкретни регионални цели, включително език, имена на файлове и тематични елементи. Експертите по киберсигурност смятат, че наскоро разкритият клъстер вероятно е само част от по-голяма кампания, която включва допълнителни неразкрити инструменти и техники за атака.

Въз основа на широкия асортимент от уникални инструменти, използвани в тези атаки и тяхната висока степен на персонализиране, е очевидно, че те са проектирани да бъдат лесно изхвърлени. Въпреки разликите в кода на тези инструменти, всички те установяват връзки с една и съща инфраструктура, която преди това е била свързана с ToddyCat, китайска група за кибер шпионаж.