CurKeep Backdoor

Vlastní malwarová hrozba známá jako CurKeep Backdoor byla identifikována jako klíčová součást nedávno odhalené kybernetické kampaně nazvané 'Stayin' Alive. Tato probíhající kampaň, která začala v roce 2021, byla specificky zaměřena na vládní organizace a poskytovatele telekomunikačních služeb v různých asijských zemích. Útočníci, kteří stojí za touto kampaní, používají rozmanitou škálu „jednorázového“ malwaru, aby se vyhnuli odhalení.

Bezpečnostní výzkumníci zjistili, že značná část cílů kampaně se nachází v zemích jako Kazachstán, Uzbekistán, Pákistán a Vietnam. Kampaň 'Stayin' Alive' je stále aktivní a nadále představuje hrozbu.

Kybernetické útoky spojené s touto kampaní jsou připisovány čínské špionážní skupině označované jako „ToddyCat“. Tato skupina využívá zprávy typu spear-phishing, které obsahují výhružné přílohy, které se používají k doručení různých zavaděčů malwaru a zadních vrátek.

CurKeep Backdoor je nasazen prostřednictvím taktiky Spear-Phishing

Výzkumníci identifikovali širokou škálu vlastních nástrojů používaných aktéry hrozeb, o nichž se domnívají, že jsou navrženy tak, aby byly na jedno použití, aby zmařily detekci a zabránily propojení různých útoků.

Útok začíná e-mailem typu spear-phishing, pečlivě přizpůsobeným tak, aby se zaměřoval na konkrétní jednotlivce v kritických organizacích, který je vyzývá, aby otevřeli přiložený soubor ZIP. V archivu existuje digitálně podepsaný spustitelný soubor, pečlivě pojmenovaný, aby odpovídal kontextu e-mailu. Obsahuje také poškozenou knihovnu DLL, která využívá zranitelnost (CVE-2022-23748) v softwaru Audinate's Dante Discovery, čímž usnadňuje načítání malwaru CurKeep do napadeného systému.

CurKeep, lehká 10kb zadní vrátka, je odpovědná za zajištění stálosti na narušeném zařízení. Odešle systémové informace na server příkazů a řízení (C2) a poté čeká na další pokyny. Tato zadní vrátka mají schopnost proniknout do seznamu adresářů z Program Files oběti a poskytnout náhled do softwaru nainstalovaného v počítači. Může spouštět příkazy a předávat výstup na server C2, stejně jako provádět úlohy založené na souborech podle pokynů svých operátorů.

Kromě CurKeep kampaň využívá další nástroje, především zavaděče, spouštěné podobnými metodami bočního načítání DLL. Za zmínku stojí zavaděče CurLu, CurCore a CurLog, z nichž každý je vybaven jedinečnými funkcemi a mechanismy infekce.

Operace proti kyberzločinu „Stayin“ Alive je přizpůsobena konkrétním cílům

'Stayin' Alive' využívá řadu odlišných vzorků a verzí těchto zavaděčů a užitečných zatížení, často přizpůsobených tak, aby vyhovovaly konkrétním regionálním cílům, včetně jazyka, názvů souborů a tematických prvků. Odborníci na kybernetickou bezpečnost se domnívají, že nedávno odhalený cluster je pravděpodobně jen součástí větší kampaně, která zahrnuje další nezveřejněné nástroje a techniky útoku.

Na základě rozsáhlého sortimentu unikátních nástrojů používaných při těchto útocích a jejich vysokého stupně přizpůsobení je zřejmé, že jsou navrženy tak, aby se daly snadno zahodit. Navzdory rozdílům v kódu těchto nástrojů všechny navazují spojení se stejnou infrastrukturou, která byla dříve spojena s ToddyCat, čínskou kyberšpionážní skupinou.