CurKeep Backdoor

A ameaça de malware personalizada conhecida como CurKeep Backdoor foi identificada como um componente-chave em uma campanha de ataque cibernético recentemente descoberta chamada ‘Stayin’ Alive’. Esta campanha contínua, que começou em 2021, centrou-se especificamente em organizações governamentais e prestadores de serviços de telecomunicações em vários países asiáticos. Os invasores por trás desta campanha empregam uma ampla gama de malware “descartável” para evitar a detecção.

Os investigadores de segurança observaram que uma parte significativa dos alvos da campanha está localizada em países como o Cazaquistão, o Uzbequistão, o Paquistão e o Vietname. A campanha 'Stayin' Alive' ainda está ativa e continua a representar uma ameaça.

Os ataques cibernéticos associados a esta campanha são atribuídos ao grupo de espionagem chinês conhecido como ‘ToddyCat’. Este grupo emprega mensagens de spear-phishing que carregam anexos ameaçadores, que são usados para entregar uma variedade de carregadores de malware e backdoors.

O CurKeep Backdoor é Implantado por Meio de Táticas de Spear-Phishing

Os pesquisadores identificaram uma ampla gama de ferramentas personalizadas empregadas pelos agentes de ameaças, que eles acreditam serem projetadas para serem descartáveis, a fim de impedir a detecção e impedir a ligação de vários ataques.

O ataque começa com um e-mail de spearphishing, cuidadosamente adaptado para atingir indivíduos específicos em organizações críticas, instando-os a abrir um arquivo ZIP anexado. Dentro do arquivo existe um executável assinado digitalmente, cuidadosamente nomeado para se alinhar ao contexto do email. Ele também contém uma DLL corrompida que explora uma vulnerabilidade (CVE-2022-23748) no software Dante Discovery da Audinate, facilitando assim o carregamento lateral do malware CurKeep no sistema comprometido.

CurKeep, um backdoor leve de 10kb, é responsável por estabelecer persistência no dispositivo violado. Ele envia informações do sistema para o servidor de comando e controle (C2) e aguarda instruções adicionais. Esse backdoor possui a capacidade de exfiltrar uma lista de diretórios dos arquivos de programas da vítima, fornecendo informações sobre o software instalado no computador. Ele pode executar comandos e retransmitir a saída para o servidor C2, bem como realizar tarefas baseadas em arquivos de acordo com as diretrizes de seus operadores.

Além do CurKeep, a campanha emprega outras ferramentas, principalmente carregadores, executados por meio de métodos semelhantes de carregamento lateral de DLL. Destacam-se entre eles o carregador CurLu, CurCore e carregador CurLog, cada um equipado com funcionalidades e mecanismos de infecção exclusivos.

A Operação de Crimes Cibernéticos 'Stayin' Alive' é Adaptada de Acordo com Alvos Específicos

'Stayin' Alive' emprega uma variedade de amostras e versões distintas desses carregadores e cargas úteis, frequentemente personalizadas para atender a alvos regionais específicos, incluindo idioma, nomes de arquivos e elementos temáticos. Os especialistas em segurança cibernética acreditam que o cluster recentemente descoberto é provavelmente apenas parte de uma campanha maior que abrange ferramentas e técnicas de ataque adicionais não divulgadas.

Com base na extensa variedade de ferramentas exclusivas utilizadas nesses ataques e no seu alto grau de personalização, fica evidente que elas foram projetadas para serem facilmente descartadas. Apesar das diferenças no código destas ferramentas, todas elas estabelecem ligações com a mesma infraestrutura, que anteriormente estava associada ao ToddyCat, um grupo chinês de espionagem cibernética.