CurKeep Backdoor

La minaccia malware personalizzata nota come CurKeep Backdoor è stata identificata come un componente chiave in una campagna di attacco informatico recentemente scoperta chiamata "Stayin' Alive". Questa campagna in corso, iniziata nel 2021, si è concentrata specificamente sulle organizzazioni governative e sui fornitori di servizi di telecomunicazione in vari paesi asiatici. Gli aggressori dietro questa campagna utilizzano una vasta gamma di malware "usa e getta" per evitare il rilevamento.

I ricercatori di sicurezza hanno osservato che una parte significativa degli obiettivi della campagna si trovano in paesi come Kazakistan, Uzbekistan, Pakistan e Vietnam. La campagna "Stayin' Alive" è ancora attiva e continua a rappresentare una minaccia.

Gli attacchi informatici associati a questa campagna sono attribuiti al gruppo di spionaggio cinese denominato "ToddyCat". Questo gruppo utilizza messaggi di spear phishing che contengono allegati minacciosi, utilizzati per fornire una varietà di caricatori di malware e backdoor.

La backdoor CurKeep viene implementata attraverso tattiche di spear-phishing

I ricercatori hanno identificato un’ampia gamma di strumenti personalizzati utilizzati dagli autori delle minacce, che ritengono siano progettati per essere “usa e getta” al fine di ostacolare il rilevamento e prevenire il collegamento di vari attacchi.

L'attacco inizia con un'e-mail di spear-phishing, attentamente adattata per colpire individui specifici all'interno di organizzazioni critiche, invitandoli ad aprire un file ZIP allegato. All'interno dell'archivio esiste un file eseguibile firmato digitalmente, denominato attentamente per allinearlo al contesto dell'e-mail. Contiene inoltre una DLL danneggiata che sfrutta una vulnerabilità (CVE-2022-23748) nel software Dante Discovery di Audinate, facilitando così il sideload del malware CurKeep sul sistema compromesso.

CurKeep, una backdoor leggera da 10kb, è responsabile di stabilire la persistenza sul dispositivo violato. Invia informazioni di sistema al server di comando e controllo (C2) e quindi attende ulteriori istruzioni. Questa backdoor possiede la capacità di estrarre un elenco di directory dai programmi della vittima, fornendo informazioni dettagliate sul software installato sul computer. Può eseguire comandi e inoltrare l'output al server C2, nonché eseguire attività basate su file secondo le direttive dei suoi operatori.

Oltre a CurKeep, la campagna utilizza altri strumenti, principalmente caricatori, eseguiti tramite metodi di caricamento laterale DLL simili. Tra questi degni di nota sono il caricatore CurLu, CurCore e CurLog, ciascuno dotato di funzionalità e meccanismi di infezione unici.

L'operazione di criminalità informatica "Stayin' Alive" è personalizzata in base agli obiettivi specifici

"Stayin' Alive" utilizza una gamma di campioni e versioni distinti di questi caricatori e payload, spesso personalizzati per adattarsi a specifici target regionali, inclusi lingua, nomi di file ed elementi tematici. Gli esperti di sicurezza informatica ritengono che il cluster scoperto di recente sia probabilmente solo una parte di una campagna più ampia che comprende ulteriori strumenti e tecniche di attacco non divulgati.

Sulla base dell’ampio assortimento di strumenti unici utilizzati in questi attacchi e del loro elevato grado di personalizzazione, è evidente che sono progettati per essere facilmente eliminati. Nonostante le differenze nel codice di questi strumenti, tutti stabiliscono collegamenti con la stessa infrastruttura, che in precedenza era associata a ToddyCat, un gruppo cinese di spionaggio informatico.