CurKeep-achterdeur

De aangepaste malwaredreiging die bekend staat als de CurKeep Backdoor is geïdentificeerd als een sleutelcomponent in een onlangs ontdekte cyberaanvalcampagne genaamd 'Stayin' Alive'. Deze doorlopende campagne, die in 2021 begon, was specifiek gericht op overheidsorganisaties en telecommunicatiedienstverleners in verschillende Aziatische landen. De aanvallers achter deze campagne gebruiken een breed scala aan 'wegwerp'-malware om detectie te voorkomen.

Veiligheidsonderzoekers hebben geconstateerd dat een aanzienlijk deel van de doelwitten van de campagne zich in landen als Kazachstan, Oezbekistan, Pakistan en Vietnam bevindt. De 'Stayin' Alive'-campagne is nog steeds actief en blijft een bedreiging vormen.

De cyberaanvallen die verband houden met deze campagne worden toegeschreven aan de Chinese spionagegroep die 'ToddyCat' wordt genoemd. Deze groep maakt gebruik van spearphishing-berichten met bedreigende bijlagen, die worden gebruikt om een verscheidenheid aan malware-laders en backdoors af te leveren.

De CurKeep-achterdeur wordt ingezet via speerphishing-tactieken

De onderzoekers hebben een breed scala aan aangepaste tools geïdentificeerd die door bedreigingsactoren worden gebruikt en die volgens hen zijn ontworpen om wegwerpbaar te zijn om detectie te dwarsbomen en de koppeling van verschillende aanvallen te voorkomen.

De aanval begint met een spearphishing-e-mail, zorgvuldig afgestemd op specifieke personen binnen kritieke organisaties, waarin hen wordt aangespoord een bijgevoegd ZIP-bestand te openen. Binnen het archief bestaat een digitaal ondertekend uitvoerbaar bestand, zorgvuldig benoemd om aan te sluiten bij de context van de e-mail. Het bevat ook een beschadigde DLL die misbruik maakt van een kwetsbaarheid (CVE-2022-23748) in de Dante Discovery-software van Audinate, waardoor het zijdelings laden van de CurKeep-malware op het aangetaste systeem wordt vergemakkelijkt.

CurKeep, een lichtgewicht achterdeur van 10 kb, is verantwoordelijk voor het tot stand brengen van persistentie op het geschonden apparaat. Het verzendt systeeminformatie naar de command-and-control (C2)-server en wacht vervolgens op verdere instructies. Deze achterdeur beschikt over de mogelijkheid om een directorylijst uit de programmabestanden van het slachtoffer te exfiltreren, waardoor inzicht wordt verkregen in de software die op de computer is geïnstalleerd. Het kan opdrachten uitvoeren en de uitvoer doorgeven aan de C2-server, maar ook op bestanden gebaseerde taken uitvoeren volgens de richtlijnen van de operators.

Naast CurKeep maakt de campagne gebruik van andere tools, voornamelijk laders, die worden uitgevoerd via vergelijkbare DLL-side-loading-methoden. Opmerkelijk onder hen zijn de CurLu loader, CurCore en CurLog loader, elk uitgerust met unieke functionaliteiten en infectiemechanismen.

De ‘Stayin’ Alive’-cybercriminaliteitsoperatie wordt afgestemd op de specifieke doelstellingen

'Stayin' Alive' maakt gebruik van een reeks verschillende voorbeelden en versies van deze laders en payloads, vaak aangepast aan specifieke regionale doelen, waaronder taal, bestandsnamen en thematische elementen. De cybersecurity-experts zijn van mening dat het onlangs ontdekte cluster waarschijnlijk slechts een onderdeel is van een grotere campagne die aanvullende niet-openbaar gemaakte tools en aanvalstechnieken omvat.

Gebaseerd op het uitgebreide assortiment aan unieke tools die bij deze aanvallen worden gebruikt en de hoge mate van aanpassing ervan, is het duidelijk dat ze zo zijn ontworpen dat ze gemakkelijk kunnen worden weggegooid. Ondanks de verschillen in de code van deze tools brengen ze allemaal verbindingen tot stand met dezelfde infrastructuur, die eerder in verband werd gebracht met ToddyCat, een Chinese cyberspionagegroep.