CurKeep Backdoor

A CurKeep Backdoor néven ismert egyéni rosszindulatú fenyegetést a közelmúltban feltárt "Stayin' Alive" nevű kibertámadási kampány kulcselemeként azonosították. Ez a folyamatban lévő kampány, amely 2021-ben kezdődött, kifejezetten a különböző ázsiai országok kormányzati szervezeteire és távközlési szolgáltatóira összpontosított. A kampány mögött álló támadók „eldobható” rosszindulatú programok széles skáláját alkalmazzák az észlelés elkerülése érdekében.

Biztonsági kutatók megfigyelték, hogy a kampány célpontjainak jelentős része olyan országokban található, mint Kazahsztán, Üzbegisztán, Pakisztán és Vietnam. A „Stayin' Alive” kampány még mindig aktív, és továbbra is fenyegetést jelent.

A kampányhoz kapcsolódó kibertámadásokat a „ToddyCat” néven emlegetett kínai kémcsoportnak tulajdonítják. Ez a csoport lándzsás adathalász üzeneteket alkalmaz, amelyek fenyegető mellékleteket tartalmaznak, amelyek különféle rosszindulatú programok betöltésére és hátsó ajtókra szolgálnak.

A CurKeep Backdoor telepítése Spear-phishing taktikán keresztül történik

A kutatók a fenyegetés szereplői által használt egyéni eszközök széles skáláját azonosították, amelyekről úgy vélik, hogy eldobhatóak, hogy megakadályozzák a különféle támadások észlelését és megakadályozzák az összekapcsolódást.

A támadás egy lándzsás adathalász e-maillel kezdődik, amelyet gondosan úgy alakítottak ki, hogy bizonyos személyeket célozzon meg a kritikus szervezeteken belül, és felszólítja őket, hogy nyissanak meg egy csatolt ZIP-fájlt. Az archívumban létezik egy digitálisan aláírt végrehajtható fájl, amelyet gondosan elneveztek, hogy illeszkedjen az e-mail környezetéhez. Tartalmaz továbbá egy sérült DLL-t, amely kihasználja az Audinate Dante Discovery szoftverének sebezhetőségét (CVE-2022-23748), megkönnyítve ezzel a CurKeep rosszindulatú program oldalról történő betöltését a feltört rendszerre.

A CurKeep, egy könnyű, 10 kb-os hátsó ajtó, felelős a megsértett eszköz tartósságának biztosításáért. Rendszerinformációkat küld a parancs- és vezérlő (C2) szervernek, majd várja a további utasításokat. Ez a hátsó ajtó képes kiszűrni egy könyvtárlistát az áldozat programfájljaiból, betekintést nyújtva a számítógépre telepített szoftverbe. Parancsokat hajthat végre és a kimenetet továbbítja a C2 szervernek, valamint fájl alapú feladatokat hajt végre az operátorok utasításai szerint.

A kampány a CurKeep mellett más eszközöket is alkalmaz, elsősorban betöltőket, amelyeket hasonló DLL oldalbetöltési módszerekkel hajtanak végre. Közülük említésre méltó a CurLu betöltő, a CurCore és a CurLog betöltő, amelyek mindegyike egyedi funkciókkal és fertőzési mechanizmusokkal van felszerelve.

A „Stayin' Alive” kiberbűnözés elleni hadművelet a konkrét céloknak megfelelően lett kialakítva

A 'Stayin' Alive' ezeknek a betöltőknek és rakományoknak egy sor különböző mintáját és változatát alkalmazza, amelyeket gyakran egyedi regionális céloknak megfelelően testre szabnak, beleértve a nyelvet, a fájlneveket és a tematikus elemeket. A kiberbiztonsági szakértők úgy vélik, hogy a nemrégiben feltárt klaszter valószínűleg csak egy része egy nagyobb kampánynak, amely további, nyilvánosságra nem hozott eszközöket és támadási technikákat is magában foglal.

Az ezekben a támadásokban használt egyedi eszközök széles választéka és nagyfokú testreszabhatósága alapján nyilvánvaló, hogy ezeket úgy tervezték, hogy könnyen eldobhatók legyenek. Ezeknek az eszközöknek a kódjában mutatkozó különbségek ellenére mindegyik ugyanazzal az infrastruktúrával hoz létre kapcsolatot, amelyet korábban a ToddyCattel, egy kínai kiberkémkedési csoporttal társítottak.