CurKeep 백도어

CurKeep Backdoor로 알려진 맞춤형 맬웨어 위협은 최근 밝혀진 'Stayin' Alive'라는 사이버 공격 캠페인의 핵심 구성 요소로 확인되었습니다. 2021년에 시작된 이 지속적인 캠페인은 특히 다양한 아시아 국가의 정부 기관과 통신 서비스 제공업체에 초점을 맞춰 왔습니다. 이 캠페인의 공격자는 탐지를 피하기 위해 다양한 범위의 '일회용' 악성 코드를 사용합니다.

보안 연구원들은 캠페인 목표의 상당 부분이 카자흐스탄, 우즈베키스탄, 파키스탄, 베트남과 같은 국가에 위치하고 있음을 관찰했습니다. 'Stayin' Alive' 캠페인은 여전히 활발히 진행되고 있으며 계속해서 위협을 가하고 있습니다.

이 캠페인과 관련된 사이버 공격은 'ToddyCat'이라고 불리는 중국 스파이 그룹의 소행으로 추정됩니다. 이 그룹은 다양한 악성 코드 로더와 백도어를 전달하는 데 사용되는 위협적인 첨부 파일을 전달하는 스피어 피싱 메시지를 사용합니다.

CurKeep 백도어는 스피어 피싱 전술을 통해 배포됩니다.

연구원들은 위협 행위자가 사용하는 다양한 맞춤형 도구를 확인했습니다. 이 도구는 탐지를 방해하고 다양한 공격의 연계를 방지하기 위해 일회용으로 설계되었다고 생각됩니다.

공격은 중요한 조직 내의 특정 개인을 대상으로 세심하게 맞춤 제작된 스피어 피싱 이메일로 시작되어 첨부된 ZIP 파일을 열도록 촉구합니다. 아카이브 내에는 이메일의 맥락에 맞게 신중하게 이름이 지정된 디지털 서명된 실행 파일이 있습니다. 또한 Audinate의 Dante Discovery 소프트웨어의 취약점(CVE-2022-23748)을 악용하는 손상된 DLL이 포함되어 있어 CurKeep 악성 코드가 손상된 시스템에 사이드 로딩되는 것을 촉진합니다.

가벼운 10kb 백도어인 CurKeep은 침해된 장치에 지속성을 설정하는 역할을 합니다. 시스템 정보를 명령 및 제어(C2) 서버로 보낸 다음 추가 지시를 기다립니다. 이 백도어는 피해자의 프로그램 파일에서 디렉터리 목록을 추출하여 컴퓨터에 설치된 소프트웨어에 대한 통찰력을 제공하는 기능을 보유하고 있습니다. 명령을 실행하고 출력을 C2 서버에 전달할 수 있을 뿐만 아니라 운영자의 지시에 따라 파일 기반 작업을 수행할 수도 있습니다.

CurKeep 외에도 캠페인은 유사한 DLL 사이드 로딩 방법을 통해 실행되는 다른 도구, 주로 로더를 사용합니다. 그중에서도 주목할만한 것은 CurLu 로더, CurCore 및 CurLog 로더이며 각각 고유한 기능과 감염 메커니즘을 갖추고 있습니다.

'Stayin' Alive' 사이버 범죄 작전은 특정 목표에 따라 맞춤화됩니다

'Stayin' Alive'는 이러한 로더와 페이로드의 다양한 샘플과 버전을 사용하며 언어, 파일 이름, 주제 요소 등 특정 지역 대상에 맞게 자주 사용자 정의됩니다. 사이버 보안 전문가들은 최근 발견된 클러스터가 아마도 추가로 공개되지 않은 도구와 공격 기술을 포함하는 대규모 캠페인의 일부일 뿐이라고 믿습니다.

이러한 공격에 사용되는 광범위한 고유 도구와 높은 수준의 사용자 정의를 기반으로 쉽게 폐기되도록 설계되었다는 것이 분명합니다. 이러한 도구의 코드 차이에도 불구하고 모두 이전에 중국 사이버 스파이 그룹인 ToddyCat과 연결되었던 동일한 인프라와 연결을 설정합니다.