CurKeep Backdoor

Vlastná malvérová hrozba známa ako CurKeep Backdoor bola identifikovaná ako kľúčový komponent v nedávno odhalenej kampani kybernetických útokov s názvom „Stayin“ Alive. Táto prebiehajúca kampaň, ktorá sa začala v roku 2021, bola špecificky zameraná na vládne organizácie a poskytovateľov telekomunikačných služieb v rôznych ázijských krajinách. Útočníci, ktorí stoja za touto kampaňou, používajú rozmanitú škálu „jednorazového“ malvéru, aby sa vyhli odhaleniu.

Bezpečnostní výskumníci zistili, že značná časť cieľov kampane sa nachádza v krajinách ako Kazachstan, Uzbekistan, Pakistan a Vietnam. Kampaň 'Stayin' Alive' je stále aktívna a naďalej predstavuje hrozbu.

Kybernetické útoky spojené s touto kampaňou sú pripisované čínskej špionážnej skupine označovanej ako „ToddyCat“. Táto skupina využíva správy typu spear-phishing, ktoré obsahujú hrozivé prílohy, ktoré sa používajú na doručovanie rôznych zavádzačov škodlivého softvéru a zadných vrátok.

CurKeep Backdoor je nasadený prostredníctvom taktiky Spear-Phishing

Výskumníci identifikovali širokú škálu vlastných nástrojov používaných aktérmi hrozieb, o ktorých sa domnievajú, že sú navrhnuté tak, aby boli na jedno použitie, aby zmarili detekciu a zabránili prepojeniu rôznych útokov.

Útok sa začína e-mailom typu spear-phishing, ktorý je starostlivo prispôsobený tak, aby sa zameral na konkrétnych jednotlivcov v kritických organizáciách, ktorý ich vyzýva, aby otvorili priložený súbor ZIP. V rámci archívu existuje digitálne podpísaný spustiteľný súbor, ktorý je starostlivo pomenovaný, aby zodpovedal kontextu e-mailu. Obsahuje tiež poškodenú knižnicu DLL, ktorá využíva zraniteľnosť (CVE-2022-23748) v softvéri Audinate's Dante Discovery, čím uľahčuje načítanie škodlivého softvéru CurKeep do napadnutého systému.

CurKeep, ľahké zadné dvierka s veľkosťou 10 kB, je zodpovedné za zabezpečenie pretrvávania na poškodenom zariadení. Odošle systémové informácie na server príkazov a riadenia (C2) a potom čaká na ďalšie pokyny. Toto zadné vrátka má schopnosť preniknúť do zoznamu adresárov z Program Files obete, čím poskytuje prehľad o softvéri nainštalovanom v počítači. Môže vykonávať príkazy a prenášať výstup na server C2, ako aj vykonávať úlohy založené na súboroch podľa pokynov svojich operátorov.

Okrem CurKeep kampaň využíva ďalšie nástroje, predovšetkým zavádzače, ktoré sa spúšťajú podobnými metódami bočného načítania DLL. Za zmienku stojí nakladač CurLu, CurCore a CurLog, z ktorých každý je vybavený jedinečnými funkciami a mechanizmami infekcie.

Operácia kyberzločinu „Stayin“ Alive je prispôsobená špecifickým cieľom

'Stayin' Alive' využíva množstvo odlišných vzoriek a verzií týchto zavádzačov a užitočných zaťažení, často prispôsobených tak, aby vyhovovali špecifickým regionálnym cieľom, vrátane jazyka, názvov súborov a tematických prvkov. Odborníci na kybernetickú bezpečnosť sa domnievajú, že nedávno odhalený klaster je pravdepodobne len súčasťou väčšej kampane, ktorá zahŕňa ďalšie nezverejnené nástroje a techniky útoku.

Na základe rozsiahleho sortimentu jedinečných nástrojov používaných pri týchto útokoch a ich vysokého stupňa prispôsobenia je zrejmé, že sú navrhnuté tak, aby sa dali ľahko zlikvidovať. Napriek rozdielom v kóde týchto nástrojov, všetky nadväzujú spojenia s rovnakou infraštruktúrou, ktorá bola predtým spojená s ToddyCat, čínskou kyberšpionážnou skupinou.