CurKeep Backdoorem

Niestandardowe zagrożenie złośliwym oprogramowaniem, znane jako backdoor CurKeep, zostało zidentyfikowane jako kluczowy element niedawno wykrytej kampanii cyberataków o nazwie „Stayin' Alive”. Ta trwająca kampania, która rozpoczęła się w 2021 r., była szczególnie skupiona na organizacjach rządowych i dostawcach usług telekomunikacyjnych w różnych krajach azjatyckich. Aby uniknąć wykrycia, osoby atakujące stojące za tą kampanią wykorzystują różnorodne „jednorazowe” złośliwe oprogramowanie.

Badacze zajmujący się bezpieczeństwem zaobserwowali, że znaczna część celów kampanii zlokalizowana jest w takich krajach jak Kazachstan, Uzbekistan, Pakistan i Wietnam. Kampania „Stayin' Alive” jest nadal aktywna i nadal stwarza zagrożenie.

Cyberataki związane z tą kampanią przypisuje się chińskiej grupie szpiegowskiej zwanej „ToddyCat”. Grupa ta wykorzystuje wiadomości typu spear-phishing zawierające załączniki z groźbami, które służą do dostarczania różnych programów ładujących złośliwe oprogramowanie i backdoorów.

Backdoor CurKeep jest wdrażany poprzez taktykę spear-phishingu

Badacze zidentyfikowali szeroką gamę niestandardowych narzędzi wykorzystywanych przez podmioty zagrażające, które ich zdaniem mają być jednorazowe, aby udaremnić wykrycie i zapobiec powiązaniom różnych ataków.

Atak rozpoczyna się od wiadomości e-mail typu spear-phishing, starannie dostosowanej do konkretnych osób w kluczowych organizacjach i nawołującej je do otwarcia załączonego pliku ZIP. W archiwum znajduje się podpisany cyfrowo plik wykonywalny, którego nazwa jest starannie dostosowana do kontekstu wiadomości e-mail. Zawiera także uszkodzoną bibliotekę DLL, która wykorzystuje lukę (CVE-2022-23748) w oprogramowaniu Dante Discovery firmy Audinate, ułatwiając w ten sposób boczne ładowanie złośliwego oprogramowania CurKeep do zaatakowanego systemu.

CurKeep, lekki backdoor o rozmiarze 10 KB, jest odpowiedzialny za ustalenie trwałości na złamanym urządzeniu. Wysyła informacje systemowe do serwera dowodzenia i kontroli (C2), a następnie oczekuje na dalsze instrukcje. Backdoor ten potrafi wyodrębnić listę katalogów z plików programów ofiary, zapewniając wgląd w oprogramowanie zainstalowane na komputerze. Może wykonywać polecenia i przekazywać dane wyjściowe do serwera C2, a także wykonywać zadania oparte na plikach zgodnie z wytycznymi swoich operatorów.

Oprócz CurKeep kampania wykorzystuje inne narzędzia, głównie moduły ładujące, uruchamiane za pomocą podobnych metod bocznego ładowania bibliotek DLL. Wśród nich na uwagę zasługują moduł ładujący CurLu, CurCore i moduł ładujący CurLog, każdy wyposażony w unikalne funkcjonalności i mechanizmy infekcji.

Operacja cyberprzestępcza „Stayin' Alive” jest dostosowana do konkretnych celów

„Stayin' Alive” wykorzystuje szereg różnych próbek i wersji tych programów ładujących i ładunków, często dostosowywanych do konkretnych celów regionalnych, w tym języka, nazw plików i elementów tematycznych. Eksperci ds. cyberbezpieczeństwa uważają, że niedawno odkryty klaster jest prawdopodobnie jedynie częścią większej kampanii obejmującej dodatkowe, nieujawnione narzędzia i techniki ataku.

Z szerokiego asortymentu unikalnych narzędzi wykorzystywanych w tych atakach oraz z ich wysokiego stopnia dostosowania jest oczywiste, że są one zaprojektowane tak, aby można je było łatwo wyrzucić. Pomimo różnic w kodzie tych narzędzi, wszystkie nawiązują połączenia z tą samą infrastrukturą, która była wcześniej kojarzona z chińską grupą cyberszpiegowską ToddyCat.