ЦурКееп Бацкдоор

Прилагођена претња злонамерног софтвера позната као ЦурКееп Бацкдоор идентификована је као кључна компонента у недавно откривеној кампањи сајбер напада под називом 'Стаиин' Аливе.' Ова текућа кампања, која је почела 2021. године, посебно је фокусирана на владине организације и провајдере телекомуникационих услуга у различитим азијским земљама. Нападачи који стоје иза ове кампање користе широк спектар малвера за „једнократну употребу“ како би избегли откривање.

Истраживачи безбедности су приметили да се значајан део циљева кампање налази у земљама као што су Казахстан, Узбекистан, Пакистан и Вијетнам. Кампања 'Остани жив' је и даље активна и наставља да представља претњу.

Сајбер напади повезани са овом кампањом се приписују кинеској шпијунској групи која се назива „ТоддиЦат“. Ова група користи спеар-пхисхинг поруке које носе претеће прилоге, који се користе за испоруку разних учитавача малвера и бацкдоор-а.

ЦурКееп Бацкдоор се примењује кроз тактику спеар-пхисхинг

Истраживачи су идентификовали широк спектар прилагођених алата које користе актери претњи, за које верују да су дизајнирани да буду једнократни како би се спречило откривање и спречило повезивање различитих напада.

Напад почиње е-поштом за крађу идентитета, пажљиво скројеном да циља одређене појединце унутар критичних организација, подстичући их да отворе приложену ЗИП датотеку. У оквиру архиве постоји дигитално потписана извршна датотека, пажљиво именована тако да буде усклађена са контекстом е-поште. Такође садржи оштећени ДЛЛ који искоришћава рањивост (ЦВЕ-2022-23748) у Аудинате-овом Данте Дисцовери софтверу, чиме се олакшава бочно учитавање ЦурКееп малвера на компромитовани систем.

ЦурКееп, лагани бацкдоор од 10 кб, одговоран је за успостављање постојаности на оштећеном уређају. Он шаље системске информације серверу за команду и контролу (Ц2), а затим чека даља упутства. Овај бацкдоор поседује могућност да ексфилтрира листу директоријума из програмских датотека жртве, пружајући увид у софтвер инсталиран на рачунару. Може да извршава команде и преноси излаз на Ц2 сервер, као и да обавља задатке засноване на фајловима у складу са директивама својих оператера.

Поред ЦурКееп-а, кампања користи и друге алате, првенствено учитаваче, који се извршавају путем сличних метода бочног учитавања ДЛЛ-а. Међу њима вреди пажње су ЦурЛу лоадер, ЦурЦоре и ЦурЛог лоадер, од којих је сваки опремљен јединственим функцијама и механизмима инфекције.

Операција кибернетичког криминала 'Остани жив' скројена је према специфичним циљевима

'Стаиин' Аливе' користи низ различитих узорака и верзија ових учитавача и корисних оптерећења, често прилагођених специфичним регионалним циљевима, укључујући језик, називе датотека и тематске елементе. Стручњаци за сајбер безбедност верују да је недавно откривени кластер вероватно само део веће кампање која обухвата додатне неоткривене алате и технике напада.

На основу широког асортимана јединствених алата који се користе у овим нападима и њиховог високог степена прилагођавања, очигледно је да су дизајнирани да се лако одбаце. Упркос разликама у коду ових алата, сви они успостављају везе са истом инфраструктуром, која је раније била повезана са ТоддиЦат, кинеском групом за сајбер шпијунажу.