CurKeep Backdoor

Kërcënimi i personalizuar i malware i njohur si CurKeep Backdoor është identifikuar si një komponent kyç në një fushatë sulmesh kibernetike të zbuluar së fundmi të quajtur 'Stayin' Alive.' Kjo fushatë e vazhdueshme, e cila filloi në vitin 2021, është fokusuar veçanërisht në organizatat qeveritare dhe ofruesit e shërbimeve të telekomunikacionit në vende të ndryshme aziatike. Sulmuesit që qëndrojnë pas kësaj fushate përdorin një gamë të larmishme malware "të disponueshëm" për të shmangur zbulimin.

Studiuesit e sigurisë kanë vërejtur se një pjesë e konsiderueshme e objektivave të fushatës ndodhen në vende të tilla si Kazakistani, Uzbekistani, Pakistani dhe Vietnami. Fushata 'Stayin' Alive' është ende aktive dhe vazhdon të përbëjë një kërcënim.

Sulmet kibernetike të lidhura me këtë fushatë i atribuohen grupit të spiunazhit kinez të referuar si 'ToddyCat'. Ky grup përdor mesazhe spear-phishing që përmbajnë bashkëngjitje kërcënuese, të cilat përdoren për të ofruar një sërë ngarkuesish malware dhe dyer të pasme.

Backdoor CurKeep vendoset përmes Taktikave Spear-Phishing

Studiuesit kanë identifikuar një gamë të gjerë mjetesh me porosi të përdorura nga aktorët e kërcënimit, të cilat ata besojnë se janë krijuar për të qenë të disponueshme në mënyrë që të pengojnë zbulimin dhe të parandalojnë lidhjen e sulmeve të ndryshme.

Sulmi fillon me një email phishing, i përshtatur me kujdes për të synuar individë të veçantë brenda organizatave kritike, duke i nxitur ata të hapin një skedar ZIP të bashkangjitur. Brenda arkivit, ekziston një ekzekutues i nënshkruar në mënyrë dixhitale, i emërtuar me kujdes për t'u lidhur me kontekstin e emailit. Ai gjithashtu përmban një DLL të korruptuar që shfrytëzon një dobësi (CVE-2022-23748) në softuerin Dante Discovery të Audinate, duke lehtësuar kështu ngarkimin anësor të malware CurKeep në sistemin e komprometuar.

CurKeep, një derë e pasme e lehtë 10 kb, është përgjegjëse për vendosjen e qëndrueshmërisë në pajisjen e thyer. Ai dërgon informacionin e sistemit te serveri komanda dhe kontrolli (C2) dhe më pas pret udhëzime të mëtejshme. Kjo derë e pasme posedon aftësinë për të nxjerrë një listë drejtorish nga skedarët e programit të viktimës, duke ofruar njohuri mbi softuerin e instaluar në kompjuter. Mund të ekzekutojë komanda dhe të transmetojë daljen në serverin C2, si dhe të kryejë detyra të bazuara në skedarë sipas direktivave të operatorëve të tij.

Përveç CurKeep, fushata përdor mjete të tjera, kryesisht ngarkues, të ekzekutuar përmes metodave të ngjashme të ngarkimit anësor DLL. Mes tyre vlen të përmendet ngarkuesi CurLu, CurCore dhe CurLog, secili i pajisur me funksionalitete unike dhe mekanizma infeksioni.

Operacioni i krimit kibernetik 'Stayin' Alive' është përshtatur sipas objektivave specifike

'Stayin' Alive' përdor një sërë mostrash dhe versionesh të dallueshme të këtyre ngarkuesve dhe ngarkesave, të personalizuara shpesh për t'iu përshtatur objektivave specifike rajonale, duke përfshirë gjuhën, emrat e skedarëve dhe elementët tematikë. Ekspertët e sigurisë kibernetike besojnë se grupi i zbuluar së fundmi është ndoshta vetëm një pjesë e një fushate më të madhe që përfshin mjete shtesë të pazbuluara dhe teknika sulmi.

Bazuar në asortimentin e gjerë të mjeteve unike të përdorura në këto sulme dhe shkallën e lartë të personalizimit të tyre, është e qartë se ato janë krijuar për t'u hedhur lehtësisht. Pavarësisht dallimeve në kodin e këtyre mjeteve, të gjitha ato krijojnë lidhje me të njëjtën infrastrukturë, e cila më parë është lidhur me ToddyCat, një grup kinez i spiunazhit kibernetik.