הנחות רישוי רב
Threat Database Malware CurKeep דלת אחורית

CurKeep דלת אחורית

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Backdoors
לתרגם ל:
עברית

איום התוכנה המותאמת אישית המכונה CurKeep Backdoor זוהה כמרכיב מפתח במסע פרסום מתקפת סייבר שנחשף לאחרונה בשם 'Stayin' Alive.' קמפיין מתמשך זה, שהחל בשנת 2021, התמקד במיוחד בארגונים ממשלתיים ובספקי שירותי תקשורת במדינות שונות באסיה. התוקפים מאחורי מסע פרסום זה מפעילים מגוון רחב של תוכנות זדוניות 'חד פעמיות' כדי להימנע מזיהוי.

חוקרי אבטחה הבחינו כי חלק ניכר ממטרות הקמפיין נמצאות במדינות כמו קזחסטן, אוזבקיסטן, פקיסטן וויאטנם. קמפיין 'הישאר בחיים' עדיין פעיל וממשיך להוות איום.

התקפות הסייבר הקשורות למסע פרסום זה מיוחסות לקבוצת הריגול הסינית המכונה 'ToddyCat'. קבוצה זו משתמשת בהודעות דיוג עם חנית הנושאות קבצים מצורפים מאיימים, המשמשות להעברת מגוון מטעני תוכנות זדוניות ודלתות אחוריות.

הדלת האחורית של CurKeep נפרסת באמצעות טקטיקות של Spear-Phishing

החוקרים זיהו מגוון רחב של כלים מותאמים אישית המופעלים על ידי גורמי איומים, שלדעתם נועדו להיות חד פעמיים על מנת לסכל גילוי ולמנוע קישור של התקפות שונות.

המתקפה מתחילה באימייל דיוג בחנית, מותאם בקפידה לכוון אנשים ספציפיים בתוך ארגונים קריטיים, וקורא להם לפתוח קובץ ZIP מצורף. בתוך הארכיון, קיים קובץ הפעלה חתום דיגיטלית, ששמו בקפידה כדי להתיישר עם ההקשר של האימייל. הוא מכיל גם DLL פגום המנצל פגיעות (CVE-2022-23748) בתוכנת Dante Discovery של Audinate, ובכך מקל על טעינת צד של תוכנת הזדונית CurKeep למערכת שנפרצה.

CurKeep, דלת אחורית קלת משקל של 10kb, אחראית לביסוס התמדה במכשיר הפרוץ. הוא שולח מידע מערכת לשרת הפיקוד והבקרה (C2) ולאחר מכן ממתין להנחיות נוספות. לדלת האחורית הזה יש את היכולת לסנן רשימת ספריות מקבצי התוכנית של הקורבן, ולספק תובנות לגבי התוכנה המותקנת במחשב. הוא יכול לבצע פקודות ולהעביר את הפלט לשרת C2, כמו גם לבצע משימות מבוססות קבצים לפי הנחיות המפעילים שלו.

בנוסף ל-CurKeep, הקמפיין משתמש בכלים נוספים, בעיקר מעמיסים, המבוצעים באמצעות שיטות דומות של טעינת DLL. ראוי לציון ביניהם הם מעמיס CurLu, CurCore ו-CurLog, כל אחד מצויד בפונקציונליות ייחודית ומנגנוני זיהום.

מבצע פשעי הסייבר 'הישאר בחיים' מותאם בהתאם ליעדים הספציפיים

'Stayin' Alive' מעסיקה מגוון של דוגמאות וגרסאות נפרדות של המעמיסים והמטענים הללו, המותאמים לעתים קרובות למטרות אזוריות ספציפיות, כולל שפה, שמות קבצים ואלמנטים נושאיים. מומחי אבטחת הסייבר מאמינים שהאשכול שנחשף לאחרונה הוא כנראה רק חלק ממסע פרסום גדול יותר הכולל כלים נוספים וטכניקות תקיפה שלא נחשפו.

בהתבסס על המגוון הרחב של הכלים הייחודיים המשמשים בהתקפות אלו ומידת ההתאמה הגבוהה שלהם, ניכר שהם נועדו להיזרק בקלות. למרות ההבדלים בקוד של הכלים הללו, כולם יוצרים קשרים עם אותה תשתית, אשר הייתה קשורה בעבר ל-ToddyCat, קבוצת ריגול סייבר סינית.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
17,839
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...