CurKeep Backdoor

Amenințarea malware personalizată cunoscută sub numele de CurKeep Backdoor a fost identificată ca o componentă cheie într-o campanie de atac cibernetic recent descoperită, numită „Stayin’ Alive”. Această campanie în curs de desfășurare, care a început în 2021, s-a concentrat în mod special pe organizațiile guvernamentale și furnizorii de servicii de telecomunicații din diferite țări asiatice. Atacatorii din spatele acestei campanii folosesc o gamă variată de programe malware „de unică folosință” pentru a evita detectarea.

Cercetătorii în domeniul securității au observat că o parte semnificativă a țintelor campaniei se află în țări precum Kazahstan, Uzbekistan, Pakistan și Vietnam. Campania „Stayin’ Alive” este încă activă și continuă să reprezinte o amenințare.

Atacurile cibernetice asociate cu această campanie sunt atribuite grupului de spionaj chinez numit „ToddyCat”. Acest grup folosește mesaje spear-phishing care poartă atașamente amenințătoare, care sunt folosite pentru a furniza o varietate de încărcătoare de malware și uși din spate.

Backdoorul CurKeep este implementat prin tactici Spear-Phishing

Cercetătorii au identificat o gamă largă de instrumente personalizate folosite de actorii amenințărilor, despre care cred că sunt concepute pentru a fi de unică folosință, pentru a împiedica detectarea și a preveni conectarea diferitelor atacuri.

Atacul începe cu un e-mail de tip spear-phishing, adaptat cu atenție pentru a viza anumite persoane din cadrul organizațiilor critice, îndemnându-le să deschidă un fișier ZIP atașat. În arhivă, există un executabil semnat digital, denumit cu grijă pentru a se alinia cu contextul e-mailului. De asemenea, conține un DLL corupt care exploatează o vulnerabilitate (CVE-2022-23748) în software-ul Dante Discovery de la Audinate, facilitând astfel încărcarea laterală a malware-ului CurKeep în sistemul compromis.

CurKeep, o ușă ușoară de 10 kb, este responsabilă pentru stabilirea persistenței pe dispozitivul spart. Acesta trimite informații de sistem către serverul de comandă și control (C2) și apoi așteaptă instrucțiuni suplimentare. Această ușă din spate are capacitatea de a exfiltra o listă de directoare din fișierele de program ale victimei, oferind informații despre software-ul instalat pe computer. Poate executa comenzi și transmite ieșirea către serverul C2, precum și poate efectua sarcini bazate pe fișiere, conform directivelor operatorilor săi.

Pe lângă CurKeep, campania folosește și alte instrumente, în primul rând încărcătoare, executate prin metode similare de încărcare laterală a DLL. Printre acestea se remarcă încărcătorul CurLu, CurCore și încărcătorul CurLog, fiecare echipat cu funcționalități unice și mecanisme de infecție.

Operațiunea de criminalitate cibernetică „Stayin’ Alive” este adaptată în funcție de ținte specifice

„Stayin’ Alive” folosește o gamă largă de mostre și versiuni distincte ale acestor încărcătoare și încărcături utile, personalizate frecvent pentru a se potrivi unor ținte regionale specifice, inclusiv limbă, nume de fișiere și elemente tematice. Experții în securitate cibernetică cred că clusterul recent descoperit este probabil doar o parte a unei campanii mai ample care cuprinde instrumente și tehnici de atac suplimentare nedezvăluite.

Pe baza sortimentului extins de instrumente unice utilizate în aceste atacuri și a gradului lor ridicat de personalizare, este evident că acestea sunt proiectate pentru a fi îndepărtate cu ușurință. În ciuda diferențelor în codul acestor instrumente, toate stabilesc conexiuni cu aceeași infrastructură, care a fost asociată anterior cu ToddyCat, un grup chinez de spionaj cibernetic.