CurKeep Backdoor

Grožnja zlonamerne programske opreme po meri, znana kot CurKeep Backdoor, je bila opredeljena kot ključna komponenta v nedavno odkriti kampanji kibernetskih napadov, imenovani 'Stayin' Alive.' Ta stalna kampanja, ki se je začela leta 2021, je bila posebej osredotočena na vladne organizacije in ponudnike telekomunikacijskih storitev v različnih azijskih državah. Napadalci, ki stojijo za to kampanjo, uporabljajo raznovrstno zlonamerno programsko opremo za enkratno uporabo, da bi se izognili odkrivanju.

Varnostni raziskovalci so opazili, da se velik del ciljev kampanje nahaja v državah, kot so Kazahstan, Uzbekistan, Pakistan in Vietnam. Kampanja Stayin' Alive je še vedno aktivna in še naprej predstavlja grožnjo.

Kibernetske napade, povezane s to kampanjo, pripisujejo kitajski vohunski skupini, imenovani ToddyCat. Ta skupina uporablja sporočila za lažno predstavljanje, ki vsebujejo grozeče priloge, ki se uporabljajo za dostavo različnih nalagalnikov zlonamerne programske opreme in stranskih vrat.

Backdoor CurKeep je nameščen s taktikami lažnega predstavljanja

Raziskovalci so identificirali široko paleto prilagojenih orodij, ki jih uporabljajo akterji groženj, za katera verjamejo, da so zasnovana za enkratno uporabo, da preprečijo odkrivanje in preprečijo povezovanje različnih napadov.

Napad se začne z lažnim e-poštnim sporočilom, ki je skrbno prilagojeno za ciljanje na določene posameznike znotraj kritičnih organizacij, in jih poziva, naj odprejo priloženo datoteko ZIP. Znotraj arhiva obstaja digitalno podpisana izvršljiva datoteka, ki je skrbno poimenovana tako, da ustreza kontekstu e-pošte. Vsebuje tudi poškodovano datoteko DLL, ki izkorišča ranljivost (CVE-2022-23748) v programski opremi Dante Discovery podjetja Audinate in s tem olajša stransko nalaganje zlonamerne programske opreme CurKeep v ogroženi sistem.

CurKeep, lahka stranska vrata velikosti 10 kb, je odgovorna za vzpostavitev obstojnosti v vdoru naprave. Sistemske informacije pošlje strežniku za ukaze in nadzor (C2) in nato čaka na nadaljnja navodila. Ta stranska vrata imajo zmožnost izločiti seznam imenikov iz žrtvenih programskih datotek, kar omogoča vpogled v programsko opremo, nameščeno v računalniku. Lahko izvaja ukaze in posreduje izhod na strežnik C2 ter izvaja naloge, ki temeljijo na datotekah, v skladu z navodili svojih operaterjev.

Poleg CurKeepa kampanja uporablja druga orodja, predvsem nalagalnike, ki se izvajajo s podobnimi metodami stranskega nalaganja DLL. Med njimi so omembe vredni nalagalnik CurLu, CurCore in nalagalnik CurLog, od katerih je vsak opremljen z edinstvenimi funkcijami in mehanizmi za okužbo.

Operacija kibernetske kriminalitete 'Stayin' Alive' je prilagojena posebnim ciljem

'Stayin' Alive' uporablja vrsto različnih vzorcev in različic teh nalagalnikov in uporabnih tovorov, ki so pogosto prilagojeni posebnim regionalnim ciljem, vključno z jezikom, imeni datotek in tematskimi elementi. Strokovnjaki za kibernetsko varnost verjamejo, da je nedavno odkrita gruča verjetno le del večje kampanje, ki vključuje dodatna nerazkrita orodja in tehnike napada.

Na podlagi obsežnega nabora edinstvenih orodij, uporabljenih pri teh napadih, in njihove visoke stopnje prilagajanja je očitno, da so zasnovana tako, da jih je enostavno zavreči. Kljub razlikam v kodi teh orodij vsa vzpostavljajo povezave z isto infrastrukturo, ki je bila prej povezana s ToddyCat, kitajsko kibernetsko vohunsko skupino.