CurKeep Backdoor

CurKeep Backdoor -niminen haittaohjelmauhka on tunnistettu äskettäin paljastetun "Stayin' Alive" -nimisen kyberhyökkäyskampanjan keskeiseksi osaksi. Tämä vuonna 2021 alkanut jatkuva kampanja on keskittynyt erityisesti valtion organisaatioihin ja tietoliikennepalvelujen tarjoajiin eri Aasian maissa. Tämän kampanjan takana olevat hyökkääjät käyttävät erilaisia "kertakäyttöisiä" haittaohjelmia välttääkseen havaitsemisen.

Turvallisuustutkijat ovat havainneet, että merkittävä osa kampanjan kohteista sijaitsee muun muassa Kazakstanissa, Uzbekistanissa, Pakistanissa ja Vietnamissa. "Stayin' Alive" -kampanja on edelleen aktiivinen ja muodostaa edelleen uhan.

Tähän kampanjaan liittyvät kyberhyökkäykset syytetään kiinalaisesta vakoiluryhmästä, jota kutsutaan nimellä "ToddyCat". Tämä ryhmä käyttää keihäs-phishing-viestejä, jotka sisältävät uhkaavia liitteitä, joita käytetään erilaisten haittaohjelmien lataajien ja takaovien toimittamiseen.

CurKeep Backdoor on otettu käyttöön Spear-phishing-taktiikkojen avulla

Tutkijat ovat tunnistaneet laajan valikoiman uhkatekijöiden käyttämiä räätälöityjä työkaluja, jotka heidän mielestään on suunniteltu kertakäyttöisiksi erilaisten hyökkäysten havaitsemisen ja yhdistämisen estämiseksi.

Hyökkäys alkaa kalastelusähköpostilla, joka on huolellisesti räätälöity kohdistamaan tiettyihin henkilöihin kriittisissä organisaatioissa ja joka kehottaa heitä avaamaan liitteenä olevan ZIP-tiedoston. Arkistossa on digitaalisesti allekirjoitettu suoritettava tiedosto, joka on nimetty huolellisesti sähköpostin kontekstin mukaiseksi. Se sisältää myös vioittun DLL:n, joka hyödyntää Audinaten Dante Discovery -ohjelmiston haavoittuvuutta (CVE-2022-23748), mikä helpottaa CurKeep-haittaohjelman sivulatausta vaarantuneeseen järjestelmään.

CurKeep, kevyt 10 kilotavun takaovi, on vastuussa rikkoutuneen laitteen pysyvyydestä. Se lähettää järjestelmätiedot komento- ja ohjauspalvelimelle (C2) ja odottaa sitten lisäohjeita. Tällä takaovella on kyky suodattaa hakemistoluettelo uhrin ohjelmatiedostoista ja antaa tietoa tietokoneeseen asennetuista ohjelmistoista. Se voi suorittaa komentoja ja välittää lähdön C2-palvelimelle sekä suorittaa tiedostopohjaisia tehtäviä operaattoreidensa ohjeiden mukaisesti.

CurKeepin lisäksi kampanjassa käytetään muita työkaluja, ensisijaisesti lataajia, jotka suoritetaan vastaavilla DLL-sivulatausmenetelmillä. Huomionarvoisia niistä ovat CurLu-loader, CurCore- ja CurLog-latausohjelmat, jotka kukin on varustettu ainutlaatuisilla toiminnoilla ja infektiomekanismeilla.

"Stayin" Alive -verkkorikollisuusoperaatio on räätälöity erityisten tavoitteiden mukaan

"Stayin' Alive" käyttää erilaisia näytteitä ja versioita näistä kuormauksista ja hyötykuormista, jotka on usein räätälöity sopimaan tiettyihin alueellisiin kohteisiin, mukaan lukien kieli, tiedostojen nimet ja temaattiset elementit. Kyberturvallisuusasiantuntijat uskovat, että äskettäin paljastunut klusteri on luultavasti vain osa suurempaa kampanjaa, joka sisältää lisää paljastamattomia työkaluja ja hyökkäystekniikoita.

Näissä hyökkäyksissä käytettyjen ainutlaatuisten työkalujen laajan valikoiman ja niiden korkean mukauttamisasteen perusteella on selvää, että ne on suunniteltu helposti hävitettäviksi. Huolimatta näiden työkalujen koodieroista, ne kaikki muodostavat yhteydet samaan infrastruktuuriin, joka on aiemmin liitetty kiinalaisen kybervakoiluryhmän ToddyCatiin.