CurKeep Bakdør

Den tilpassede malware-trusselen kjent som CurKeep Backdoor har blitt identifisert som en nøkkelkomponent i en nylig avdekket nettangrepskampanje kalt 'Stayin' Alive.' Denne pågående kampanjen, som startet i 2021, har vært spesifikt fokusert på offentlige organisasjoner og leverandører av telekommunikasjonstjenester i forskjellige asiatiske land. Angriperne bak denne kampanjen bruker et mangfoldig utvalg av "engangs" malware for å unngå oppdagelse.

Sikkerhetsforskere har observert at en betydelig del av kampanjens mål er lokalisert i land som Kasakhstan, Usbekistan, Pakistan og Vietnam. 'Stayin' Alive'-kampanjen er fortsatt aktiv og fortsetter å utgjøre en trussel.

Nettangrepene knyttet til denne kampanjen tilskrives den kinesiske spionasjegruppen referert til som 'ToddyCat'. Denne gruppen bruker spear-phishing-meldinger som inneholder truende vedlegg, som brukes til å levere en rekke malware-lastere og bakdører.

CurKeep-bakdøren er distribuert gjennom Spear-phishing-taktikker

Forskerne har identifisert et bredt spekter av tilpassede verktøy som brukes av trusselaktører, som de mener er utformet for å være disponibelt for å hindre oppdagelse og forhindre kobling av ulike angrep.

Angrepet starter med en spyd-phishing-e-post, nøye skreddersydd for å målrette mot spesifikke individer i kritiske organisasjoner, og oppfordrer dem til å åpne en vedlagt ZIP-fil. Innenfor arkivet finnes det en digitalt signert kjørbar, nøye navngitt for å tilpasse seg e-postens kontekst. Den inneholder også en ødelagt DLL som utnytter en sårbarhet (CVE-2022-23748) i Audinates Dante Discovery-programvare, og letter sidelasting av CurKeep-malware til det kompromitterte systemet.

CurKeep, en lett 10 kb bakdør, er ansvarlig for å etablere utholdenhet på den ødelagte enheten. Den sender systeminformasjon til kommando-og-kontroll-serveren (C2) og venter deretter på ytterligere instruksjoner. Denne bakdøren har muligheten til å eksfiltrere en katalogliste fra offerets programfiler, og gir innsikt i programvaren som er installert på datamaskinen. Den kan utføre kommandoer og videresende utdata til C2-serveren, samt utføre filbaserte oppgaver i henhold til operatørenes direktiver.

I tillegg til CurKeep, bruker kampanjen andre verktøy, først og fremst lastere, utført gjennom lignende DLL-sidelastingsmetoder. Bemerkelsesverdig blant dem er CurLu-lasteren, CurCore og CurLog-lasteren, hver utstyrt med unike funksjoner og infeksjonsmekanismer.

«Stayin' Alive» nettkriminalitet er skreddersydd i henhold til de spesifikke målene

'Stayin' Alive' bruker en rekke forskjellige prøver og versjoner av disse lasterne og nyttelastene, ofte tilpasset for å passe spesifikke regionale mål, inkludert språk, filnavn og tematiske elementer. Ekspertene på nettsikkerhet mener at den nylig avdekkede klyngen sannsynligvis bare er en del av en større kampanje som omfatter flere ikke-avslørte verktøy og angrepsteknikker.

Basert på det omfattende utvalget av unike verktøy som brukes i disse angrepene og deres høye grad av tilpasning, er det tydelig at de er designet for å enkelt kastes. Til tross for forskjellene i koden til disse verktøyene, etablerer de alle forbindelser med den samme infrastrukturen, som tidligere har vært assosiert med ToddyCat, en kinesisk cyberspionasjegruppe.