CurKeep Bagdør

Den tilpassede malware-trussel kendt som CurKeep Backdoor er blevet identificeret som en nøglekomponent i en nyligt afsløret cyberangrebskampagne kaldet 'Stayin' Alive.' Denne igangværende kampagne, som begyndte i 2021, har været specifikt fokuseret på statslige organisationer og telekommunikationstjenesteudbydere i forskellige asiatiske lande. Angriberne bag denne kampagne anvender en bred vifte af 'engangs' malware for at undgå opdagelse.

Sikkerhedsforskere har observeret, at en betydelig del af kampagnens mål er placeret i lande som Kasakhstan, Usbekistan, Pakistan og Vietnam. Kampagnen 'Stayin' Alive' er stadig aktiv og udgør fortsat en trussel.

De cyberangreb, der er forbundet med denne kampagne, tilskrives den kinesiske spionagegruppe, der omtales som 'ToddyCat'. Denne gruppe anvender spear-phishing-meddelelser, der indeholder truende vedhæftede filer, som bruges til at levere en række malware-indlæsere og bagdøre.

CurKeep-bagdøren er implementeret gennem Spear-Phishing-taktik

Forskerne har identificeret en bred vifte af brugerdefinerede værktøjer, der anvendes af trusselsaktører, som de mener er designet til at være til engangsbrug for at forhindre opdagelse og forhindre sammenkædningen af forskellige angreb.

Angrebet starter med en spear-phishing-e-mail, omhyggeligt skræddersyet til at målrette mod specifikke individer i kritiske organisationer, og opfordrer dem til at åbne en vedhæftet ZIP-fil. Inden i arkivet findes der en digitalt signeret eksekverbar, omhyggeligt navngivet for at tilpasse sig e-mailens kontekst. Den indeholder også en beskadiget DLL, der udnytter en sårbarhed (CVE-2022-23748) i Audinates Dante Discovery-software, og derved letter sideindlæsningen af CurKeep-malwaren til det kompromitterede system.

CurKeep, en letvægts 10 kb bagdør, er ansvarlig for at etablere persistens på den brudte enhed. Den sender systemoplysninger til kommando-og-kontrol-serveren (C2) og afventer derefter yderligere instruktioner. Denne bagdør har evnen til at eksfiltrere en mappeliste fra ofrets programfiler, hvilket giver indsigt i den software, der er installeret på computeren. Den kan udføre kommandoer og videresende output til C2-serveren, samt udføre filbaserede opgaver i henhold til operatørernes direktiver.

Ud over CurKeep anvender kampagnen andre værktøjer, primært indlæsere, udført gennem lignende DLL-sideindlæsningsmetoder. Bemærkelsesværdige blandt dem er CurLu loader, CurCore og CurLog loader, hver udstyret med unikke funktionaliteter og infektionsmekanismer.

Cyberkriminalitetsoperationen 'Stayin' Alive' er skræddersyet i henhold til de specifikke mål

'Stayin' Alive' anvender en række forskellige eksempler og versioner af disse læssere og nyttelaster, som ofte er tilpasset til specifikke regionale mål, herunder sprog, filnavne og tematiske elementer. Eksperterne i cybersikkerhed mener, at den nyligt afslørede klynge sandsynligvis blot er en del af en større kampagne, der omfatter yderligere ikke-oplyste værktøjer og angrebsteknikker.

Baseret på det omfattende udvalg af unikke værktøjer, der bruges i disse angreb og deres høje grad af tilpasning, er det tydeligt, at de er designet til let at blive kasseret. På trods af forskellene i koden for disse værktøjer, etablerer de alle forbindelser med den samme infrastruktur, som tidligere har været forbundet med ToddyCat, en kinesisk cyberspionagegruppe.