Бэкдор CurKeep

Угроза специального вредоносного ПО, известная как CurKeep Backdoor, была определена как ключевой компонент недавно раскрытой кампании кибератак под названием «Остаться в живых». Эта продолжающаяся кампания, которая началась в 2021 году, была специально ориентирована на правительственные организации и поставщиков телекоммуникационных услуг в различных странах Азии. Злоумышленники, стоящие за этой кампанией, используют разнообразный набор «одноразовых» вредоносных программ, чтобы избежать обнаружения.

Исследователи безопасности заметили, что значительная часть целей кампании расположена в таких странах, как Казахстан, Узбекистан, Пакистан и Вьетнам. Кампания «Остаться в живых» все еще активна и продолжает представлять угрозу.

Кибератаки, связанные с этой кампанией, приписываются китайской шпионской группе под названием ToddyCat. Эта группа использует целевые фишинговые сообщения, содержащие угрожающие вложения, которые используются для доставки различных загрузчиков вредоносного ПО и бэкдоров.

Бэкдор CurKeep развертывается с помощью тактики целевого фишинга

Исследователи выявили широкий спектр специальных инструментов, используемых злоумышленниками, которые, по их мнению, предназначены для одноразового использования, чтобы помешать обнаружению и предотвратить объединение различных атак.

Атака начинается с целевого фишингового электронного письма, тщательно адаптированного для конкретных лиц в критически важных организациях, с призывом открыть прикрепленный ZIP-файл. В архиве находится исполняемый файл с цифровой подписью, название которого соответствует контексту электронного письма. Он также содержит поврежденную DLL, которая использует уязвимость (CVE-2022-23748) в программном обеспечении Dante Discovery от Audinate, тем самым облегчая неопубликованную загрузку вредоносного ПО CurKeep в скомпрометированную систему.

CurKeep, легкий бэкдор размером 10 КБ, отвечает за сохранение данных на взломанном устройстве. Он отправляет системную информацию на сервер управления и контроля (C2), а затем ожидает дальнейших инструкций. Этот бэкдор способен извлечь список каталогов из программных файлов жертвы, предоставив информацию о программном обеспечении, установленном на компьютере. Он может выполнять команды и передавать выходные данные на сервер C2, а также выполнять файловые задачи в соответствии с указаниями своих операторов.

Помимо CurKeep, в кампании используются и другие инструменты, в первую очередь загрузчики, выполняемые с помощью аналогичных методов загрузки неопубликованных DLL. Среди них заслуживают внимания загрузчики CurLu, CurCore и CurLog, каждый из которых оснащен уникальными функциями и механизмами заражения.

Операция по борьбе с киберпреступностью «Остаться в живых» разработана в соответствии с конкретными целями

В «Stayin’ Alive» используется ряд различных образцов и версий этих загрузчиков и полезных нагрузок, часто настраиваемых в соответствии с конкретными региональными целями, включая язык, имена файлов и тематические элементы. Эксперты по кибербезопасности полагают, что недавно обнаруженный кластер, вероятно, является лишь частью более крупной кампании, которая включает в себя дополнительные нераскрытые инструменты и методы атаки.

Учитывая обширный ассортимент уникальных инструментов, используемых в этих атаках, и их высокую степень настройки, очевидно, что они созданы для того, чтобы их можно было легко отбросить. Несмотря на различия в коде этих инструментов, все они устанавливают соединения с одной и той же инфраструктурой, которая ранее была связана с ToddyCat — китайской группой кибершпионажа.