CurKeep ब्याकडोर

CurKeep Backdoor को रूपमा चिनिने कस्टम मालवेयर खतरालाई 'स्टेइन' अलाइभ' नामक भर्खरै पर्दाफास गरिएको साइबर आक्रमण अभियानमा प्रमुख घटकको रूपमा पहिचान गरिएको छ। 2021 मा सुरु भएको यो चलिरहेको अभियान विशेष गरी विभिन्न एसियाली देशहरूमा सरकारी संस्थाहरू र दूरसञ्चार सेवा प्रदायकहरूमा केन्द्रित छ। यस अभियानको पछाडि आक्रमणकारीहरूले पत्ता लगाउनबाट बच्न विभिन्न प्रकारका 'डिस्पोजेबल' मालवेयर प्रयोग गर्छन्।

सुरक्षा अनुसन्धाताहरूले अभियानको लक्ष्यको एक महत्त्वपूर्ण भाग काजाकिस्तान, उज्वेकिस्तान, पाकिस्तान र भियतनाम जस्ता देशहरूमा रहेको देखेका छन्। 'स्टेइन' अलाइभ' अभियान अझै सक्रिय छ र यसले खतरा खडा गरिरहेको छ।

यस अभियानसँग सम्बन्धित साइबर आक्रमणहरू 'टोडीक्याट' भनेर चिनिने चिनियाँ जासुसी समूहलाई श्रेय दिइएको छ। यस समूहले भाला-फिसिङ सन्देशहरू प्रयोग गर्दछ जसले धम्कीपूर्ण संलग्नकहरू बोक्छ, जुन विभिन्न प्रकारका मालवेयर लोडरहरू र ब्याकडोरहरू डेलिभर गर्न प्रयोग गरिन्छ।

CurKeep Backdoor Spear-phishing Tactics मार्फत प्रयोग गरिन्छ

अन्वेषकहरूले खतरा अभिनेताहरू द्वारा नियोजित अनुकूलन उपकरणहरूको एक विस्तृत श्रृंखला पहिचान गरेका छन्, जुन तिनीहरू विश्वास गर्छन् कि पत्ता लगाउन र विभिन्न आक्रमणहरूको सम्बन्धलाई रोक्नको लागि डिस्पोजेबल हुन डिजाइन गरिएको हो।

आक्रमण एउटा भाला-फिशिङ इमेलको साथ सुरु हुन्छ, ध्यानपूर्वक महत्त्वपूर्ण संगठनहरूमा विशेष व्यक्तिहरूलाई लक्षित गर्न, तिनीहरूलाई संलग्न ZIP फाइल खोल्न आग्रह गर्दै। अभिलेख भित्र, त्यहाँ डिजिटल रूपमा हस्ताक्षर गरिएको कार्यान्वयनयोग्य छ, इमेलको सन्दर्भसँग पङ्क्तिबद्ध गर्न ध्यानपूर्वक नाम दिइएको छ। यसले एक दूषित DLL पनि समावेश गर्दछ जसले Audinate को Dante Discovery सफ्टवेयरमा कमजोरी (CVE-2022-23748) को शोषण गर्दछ, जसले गर्दा CurKeep मालवेयरलाई सम्झौता प्रणालीमा साइड-लोड गर्ने सुविधा दिन्छ।

CurKeep, एक हल्का वजनको 10kb ब्याकडोर, उल्लंघन गरिएको यन्त्रमा दृढता स्थापना गर्न जिम्मेवार छ। यसले प्रणाली जानकारी आदेश-र-नियन्त्रण (C2) सर्भरमा पठाउँछ र त्यसपछि थप निर्देशनहरू पर्खन्छ। यो ब्याकडोरले पीडितको प्रोग्राम फाइलहरूबाट डाइरेक्टरी सूची निकाल्ने क्षमता राख्छ, कम्प्युटरमा स्थापित सफ्टवेयरमा अन्तर्दृष्टि प्रदान गर्दछ। यसले आदेशहरू कार्यान्वयन गर्न र C2 सर्भरमा आउटपुट रिले गर्न सक्छ, साथै यसको अपरेटरहरूको निर्देशन अनुसार फाइल-आधारित कार्यहरू गर्न सक्छ।

CurKeep को अतिरिक्त, अभियानले अन्य उपकरणहरू प्रयोग गर्दछ, मुख्य रूपमा लोडरहरू, समान DLL साइड-लोडिङ विधिहरू मार्फत कार्यान्वयन गरिन्छ। तिनीहरूमध्ये उल्लेखनीय छन् CurLu लोडर, CurCore, र CurLog लोडर, प्रत्येक अद्वितीय कार्यक्षमता र संक्रमण संयन्त्रहरूले सुसज्जित छन्।

'स्टेइन' अलाइभ' साइबर क्राइम अपरेशन विशिष्ट लक्ष्यहरू अनुसार बनाइएको छ

'स्टेइन' अलाइभ' ले यी लोडरहरू र पेलोडहरूको भिन्न नमूनाहरू र संस्करणहरूको दायरालाई रोजगार दिन्छ, प्राय: भाषा, फाइल नामहरू, र विषयगत तत्वहरू सहित विशिष्ट क्षेत्रीय लक्ष्यहरू अनुरूप अनुकूलित। साइबरसुरक्षा विशेषज्ञहरू विश्वास गर्छन् कि भर्खरै पर्दाफास गरिएको क्लस्टर सम्भवतः ठूलो अभियानको एक भाग हो जसले थप अज्ञात उपकरणहरू र आक्रमण प्रविधिहरू समावेश गर्दछ।

यी आक्रमणहरूमा प्रयोग गरिएका अद्वितीय उपकरणहरूको विस्तृत वर्गीकरण र तिनीहरूको अनुकूलनको उच्च डिग्रीको आधारमा, यो स्पष्ट छ कि तिनीहरू सजिलै खारेज गर्न डिजाइन गरिएको हो। यी उपकरणहरूको कोडमा भिन्नता भए पनि, तिनीहरू सबैले एउटै पूर्वाधारसँग जडानहरू स्थापना गर्छन्, जुन पहिले चिनियाँ साइबर जासूसी समूह ToddyCat सँग सम्बन्धित थियो।