Porta del darrere de CurKeep
L'amenaça de programari maliciós personalitzat coneguda com CurKeep Backdoor s'ha identificat com un component clau en una campanya de ciberatac descoberta recentment anomenada "Stayin' Alive". Aquesta campanya en curs, que va començar l'any 2021, s'ha centrat específicament en organitzacions governamentals i proveïdors de serveis de telecomunicacions de diversos països asiàtics. Els atacants darrere d'aquesta campanya utilitzen una àmplia gamma de programari maliciós "un sol ús" per evitar la detecció.
Els investigadors de seguretat han observat que una part important dels objectius de la campanya es troben a països com Kazakhstan, Uzbekistan, Pakistan i Vietnam. La campanya 'Stayin' Alive' segueix activa i continua representant una amenaça.
Els ciberatacs associats a aquesta campanya s'atribueixen al grup d'espionatge xinès anomenat "ToddyCat". Aquest grup empra missatges de pesca amb pesca que porten fitxers adjunts amenaçadors, que s'utilitzen per oferir una varietat de carregadors de programari maliciós i portes posteriors.
El CurKeep Backdoor es desplega mitjançant tàctiques de pesca de llança
Els investigadors han identificat una àmplia gamma d'eines personalitzades utilitzades pels actors d'amenaça, que creuen que estan dissenyades per ser d'un sol ús per tal de frustrar la detecció i prevenir l'enllaç de diversos atacs.
L'atac s'inicia amb un correu electrònic de pesca amb lanza, dissenyat acuradament per dirigir-se a persones específiques dins d'organitzacions crítiques, que els insta a obrir un fitxer ZIP adjunt. Dins de l'arxiu, hi ha un executable signat digitalment, nomenat acuradament per alinear-se amb el context del correu electrònic. També conté una DLL danyada que explota una vulnerabilitat (CVE-2022-23748) al programari Dante Discovery d'Audinate, facilitant així la càrrega lateral del programari maliciós CurKeep al sistema compromès.
CurKeep, una porta posterior lleugera de 10 kb, s'encarrega d'establir la persistència al dispositiu trencat. Envia informació del sistema al servidor d'ordres i control (C2) i després espera més instruccions. Aquesta porta del darrere té la capacitat d'exfiltrar una llista de directoris dels fitxers de programa de la víctima, proporcionant informació sobre el programari instal·lat a l'ordinador. Pot executar ordres i transmetre la sortida al servidor C2, així com realitzar tasques basades en fitxers segons les directrius dels seus operadors.
A més de CurKeep, la campanya utilitza altres eines, principalment carregadors, executats mitjançant mètodes similars de càrrega lateral de DLL. Entre ells destaquen el carregador CurLu, CurCore i CurLog, cadascun equipat amb funcionalitats úniques i mecanismes d'infecció.
L'operació de cibercrim "Stayin' Alive" s'adapta segons els objectius específics
'Stayin' Alive' utilitza una varietat de mostres i versions diferents d'aquests carregadors i càrregues útils, sovint personalitzades per adaptar-se a objectius regionals específics, com ara l'idioma, els noms de fitxers i els elements temàtics. Els experts en ciberseguretat creuen que el clúster recentment descobert probablement és només una part d'una campanya més gran que inclou eines i tècniques d'atac addicionals no revelades.
A partir de l'ampli assortiment d'eines úniques utilitzades en aquests atacs i el seu alt grau de personalització, és evident que estan dissenyades per ser descartades fàcilment. Malgrat les diferències en el codi d'aquestes eines, totes estableixen connexions amb la mateixa infraestructura, que anteriorment s'ha associat amb ToddyCat, un grup d'espionatge cibernètic xinès.
