CurKeep Backdoor

Pasirinktinė kenkėjiškų programų grėsmė, žinoma kaip „CurKeep Backdoor“, buvo nustatyta kaip pagrindinis komponentas neseniai atskleistoje kibernetinės atakos kampanijoje „Stayin“ Alive. Ši nuolatinė kampanija, prasidėjusi 2021 m., buvo skirta vyriausybinėms organizacijoms ir telekomunikacijų paslaugų teikėjams įvairiose Azijos šalyse. Šios kampanijos užpuolikai naudoja įvairias „vienkartines“ kenkėjiškas programas, kad išvengtų aptikimo.

Saugumo tyrinėtojai pastebėjo, kad didelė dalis kampanijos taikinių yra tokiose šalyse kaip Kazachstanas, Uzbekistanas, Pakistanas ir Vietnamas. Kampanija „Stayin' Alive“ vis dar aktyvi ir kelia grėsmę.

Su šia kampanija susijusios kibernetinės atakos priskiriamos Kinijos šnipinėjimo grupei, vadinamai „ToddyCat“. Šioje grupėje naudojami slapti sukčiavimo pranešimai, kuriuose yra grėsmingų priedų, kurie naudojami įvairiems kenkėjiškų programų krovikliams ir užpakalinėms durims pristatyti.

„CurKeep Backdoor“ yra įdiegta naudojant „Spear-phishing“ taktiką

Tyrėjai nustatė daugybę pasirinktinių įrankių, kuriuos naudoja grėsmės veikėjai, kurie, jų manymu, yra sukurti taip, kad būtų vienkartiniai, siekiant sutrukdyti aptikti įvairius išpuolius ir užkirsti kelią jų susiejimui.

Ataka prasideda nuo sukčiavimo el. laiško, kruopščiai pritaikyto konkretiems asmenims svarbiose organizacijose, raginant juos atidaryti pridėtą ZIP failą. Archyve yra skaitmeniniu parašu pasirašytas vykdomasis failas, kruopščiai pavadintas, kad atitiktų el. laiško kontekstą. Jame taip pat yra sugadintas DLL, kuris išnaudoja „Audinate“ Dante Discovery programinės įrangos pažeidžiamumą (CVE-2022-23748), taip palengvindamas „CurKeep“ kenkėjiškos programos įkėlimą į pažeistą sistemą.

„CurKeep“, lengvas 10 kb galinės durys, yra atsakingas už pažeisto įrenginio patvarumo nustatymą. Jis siunčia sistemos informaciją į komandų ir valdymo (C2) serverį ir laukia tolesnių nurodymų. Šios užpakalinės durys turi galimybę išimti katalogų sąrašą iš aukos programos failų, suteikdamos įžvalgų apie kompiuteryje įdiegtą programinę įrangą. Jis gali vykdyti komandas ir perduoti išvestį į C2 serverį, taip pat atlikti failais pagrįstas užduotis pagal savo operatorių nurodymus.

Be CurKeep, kampanijoje naudojami kiti įrankiai, pirmiausia krautuvai, vykdomi naudojant panašius DLL šoninio įkėlimo metodus. Tarp jų verta paminėti „CurLu“ įkroviklį, „CurCore“ ir „CurLog“ įkroviklį, kurių kiekvienas turi unikalias funkcijas ir infekcijos mechanizmus.

Kibernetinių nusikaltimų operacija „Stayin“ Alive yra pritaikyta pagal konkrečius tikslus

„Stayin' Alive“ naudoja daugybę skirtingų šių krautuvų ir naudingųjų krovinių pavyzdžių ir versijų, dažnai pritaikomų, kad atitiktų konkrečius regioninius tikslus, įskaitant kalbą, failų pavadinimus ir teminius elementus. Kibernetinio saugumo ekspertai mano, kad neseniai atskleistas klasteris tikriausiai yra tik dalis didesnės kampanijos, apimančios papildomus neatskleidžiamus įrankius ir atakų metodus.

Atsižvelgiant į platų šiose atakose naudojamų unikalių įrankių asortimentą ir aukštą jų pritaikymo laipsnį, akivaizdu, kad jie sukurti taip, kad juos būtų lengva išmesti. Nepaisant šių įrankių kodų skirtumų, jie visi užmezga ryšius su ta pačia infrastruktūra, kuri anksčiau buvo siejama su Kinijos kibernetinio šnipinėjimo grupe „ToddyCat“.