CurKeep Backdoor

Prilagođena zlonamjerna prijetnja poznata kao CurKeep Backdoor identificirana je kao ključna komponenta u nedavno razotkrivenoj kampanji cyber napada pod nazivom 'Stayin' Alive'. Ova tekuća kampanja, koja je započela 2021., posebno je usmjerena na vladine organizacije i pružatelje telekomunikacijskih usluga u raznim azijskim zemljama. Napadači koji stoje iza ove kampanje koriste raznolik raspon 'jednokratnog' zlonamjernog softvera kako bi izbjegli otkrivanje.

Istraživači sigurnosti primijetili su da se značajan dio ciljeva kampanje nalazi u zemljama poput Kazahstana, Uzbekistana, Pakistana i Vijetnama. Kampanja 'Stayin' Alive' još uvijek je aktivna i i dalje predstavlja prijetnju.

Kibernetički napadi povezani s ovom kampanjom pripisuju se kineskoj špijunskoj skupini koja se naziva "ToddyCat". Ova grupa koristi spear-phishing poruke koje nose prijeteće privitke, koji se koriste za isporuku raznih učitavača zlonamjernog softvera i stražnjih vrata.

CurKeep Backdoor se postavlja putem Spear-Phishing taktike

Istraživači su identificirali široku lepezu prilagođenih alata koje koriste akteri prijetnji, za koje vjeruju da su dizajnirani za jednokratnu upotrebu kako bi se osujetilo otkrivanje i spriječilo povezivanje različitih napada.

Napad započinje e-poštom koja cilja na krađu identiteta, pažljivo skrojenoj za ciljanje određenih pojedinaca unutar kritičnih organizacija, pozivajući ih da otvore priloženu ZIP datoteku. Unutar arhive postoji digitalno potpisana izvršna datoteka, pažljivo imenovana kako bi bila usklađena s kontekstom e-pošte. Također sadrži oštećeni DLL koji iskorištava ranjivost (CVE-2022-23748) u softveru Audinate Dante Discovery, čime se olakšava bočno učitavanje zlonamjernog softvera CurKeep na kompromitirani sustav.

CurKeep, lagani backdoor od 10 kb, odgovoran je za uspostavljanje postojanosti na probijenom uređaju. Šalje informacije o sustavu poslužitelju za naredbu i kontrolu (C2) i zatim čeka daljnje upute. Ova stražnja vrata imaju mogućnost eksfiltracije popisa direktorija iz programskih datoteka žrtve, pružajući uvid u softver instaliran na računalu. Može izvršavati naredbe i prenositi izlaz na C2 poslužitelj, kao i izvršavati zadatke temeljene na datotekama prema uputama svojih operatera.

Uz CurKeep, kampanja koristi druge alate, prvenstveno učitavače, koji se izvršavaju kroz slične DLL metode bočnog učitavanja. Među njima vrijedi spomenuti CurLu loader, CurCore i CurLog loader, svaki opremljen jedinstvenim funkcijama i mehanizmima infekcije.

Operacija kibernetičkog kriminala 'Stayin' Alive' skrojena je prema specifičnim ciljevima

'Stayin' Alive' koristi niz različitih uzoraka i verzija ovih učitavača i sadržaja, često prilagođenih specifičnim regionalnim ciljevima, uključujući jezik, nazive datoteka i tematske elemente. Stručnjaci za kibernetičku sigurnost vjeruju da je nedavno otkriveni klaster vjerojatno samo dio veće kampanje koja uključuje dodatne neobjavljene alate i tehnike napada.

Na temelju opsežnog asortimana jedinstvenih alata koji se koriste u ovim napadima i njihovog visokog stupnja prilagodbe, očito je da su dizajnirani da se lako odbace. Unatoč razlikama u kodu ovih alata, svi oni uspostavljaju veze s istom infrastrukturom, koja je prethodno bila povezana s ToddyCat, kineskom skupinom za cyber špijunažu.