CurKeep Backdoor

Kohandatud pahavaraoht, mida tuntakse CurKeep Backdoorina, on tuvastatud hiljuti paljastatud küberrünnakukampaania "Stayin' Alive" võtmekomponendina. See käimasolev 2021. aastal alanud kampaania on keskendunud eri Aasia riikide valitsusasutustele ja telekommunikatsiooniteenuste pakkujatele. Selle kampaania taga olevad ründajad kasutavad tuvastamise vältimiseks mitmesuguseid ühekordselt kasutatavaid pahavarasid.

Turvateadlased on täheldanud, et märkimisväärne osa kampaania sihtmärkidest asub sellistes riikides nagu Kasahstan, Usbekistan, Pakistan ja Vietnam. Kampaania "Stayin' Alive" on endiselt aktiivne ja kujutab endast jätkuvalt ohtu.

Selle kampaaniaga seotud küberrünnakud on omistatud Hiina spionaažirühmale, mida nimetatakse ToddyCatiks. See rühm kasutab andmepüügisõnumeid, mis sisaldavad ähvardavaid manuseid, mida kasutatakse mitmesuguste pahavara laadijate ja tagauste edastamiseks.

CurKeep Backdoor juurutatakse andmepüügitaktika abil

Teadlased on tuvastanud suure hulga ohus osalejate kasutatavaid kohandatud tööriistu, mis nende arvates on mõeldud ühekordseks kasutamiseks, et takistada erinevate rünnakute tuvastamist ja nende seoseid.

Rünnak algab andmepüügi e-kirjaga, mis on hoolikalt kohandatud kriitiliste organisatsioonide konkreetsete inimeste sihtimiseks, kutsudes neid üles avama manustatud ZIP-faili. Arhiivis on digitaalselt allkirjastatud käivitatav fail, mis on hoolikalt nimetatud meili kontekstiga vastavusse viimiseks. See sisaldab ka rikutud DLL-i, mis kasutab ära Audinate'i Dante Discovery tarkvara haavatavust (CVE-2022-23748), hõlbustades seeläbi CurKeepi pahavara külglaadimist ohustatud süsteemi.

CurKeep, kerge 10 kb tagauks, vastutab rikutud seadme püsivuse tagamise eest. See saadab süsteemiteabe käsu-ja-juhtimise (C2) serverisse ja ootab seejärel edasisi juhiseid. Sellel tagauksel on võimalus ohvri programmifailidest välja filtreerida kataloogide loend, mis annab ülevaate arvutisse installitud tarkvarast. See suudab täita käske ja edastada väljundi C2-serverile, samuti täita failipõhiseid ülesandeid vastavalt oma operaatorite juhistele.

Lisaks CurKeepile kasutab kampaania muid tööriistu, peamiselt laadureid, mida täidetakse sarnaste DLL-i külglaadimismeetodite kaudu. Nende hulgas väärivad tähelepanu CurLu laadur, CurCore ja CurLog laadur, millest igaüks on varustatud ainulaadsete funktsioonide ja nakkusmehhanismidega.

Küberkuritegevuse operatsioon "Stayin" Alive on kohandatud vastavalt konkreetsetele sihtmärkidele

"Stayin' Alive" kasutab nende laadurite ja kasulike koormate erinevaid näidiseid ja versioone, mida sageli kohandatakse vastavalt konkreetsetele piirkondlikele sihtmärkidele, sealhulgas keelele, failinimedele ja temaatilistele elementidele. Küberturvalisuse eksperdid usuvad, et hiljuti paljastatud klaster on tõenäoliselt vaid osa suuremast kampaaniast, mis hõlmab täiendavaid avalikustamata tööriistu ja ründetehnikaid.

Nendes rünnakutes kasutatud ainulaadsete tööriistade laia valiku ja nende suure kohandatavuse põhjal on ilmne, et need on loodud hõlpsasti äraviskamiseks. Vaatamata nende tööriistade koodide erinevustele loovad need kõik ühendused sama infrastruktuuriga, mida on varem seostatud Hiina küberspionaažirühma ToddyCatiga.