CurKeep Bakdörr

Det anpassade skadliga hotet som kallas CurKeep Backdoor har identifierats som en nyckelkomponent i en nyligen upptäckt cyberattackkampanj kallad "Stayin' Alive." Denna pågående kampanj, som startade 2021, har varit specifikt inriktad på statliga organisationer och leverantörer av telekommunikationstjänster i olika asiatiska länder. Angriparna bakom den här kampanjen använder ett brett utbud av "engångs" skadlig programvara för att undvika upptäckt.

Säkerhetsforskare har observerat att en betydande del av kampanjens mål finns i länder som Kazakstan, Uzbekistan, Pakistan och Vietnam. Kampanjen 'Stayin' Alive' är fortfarande aktiv och fortsätter att utgöra ett hot.

Cyberattackerna i samband med den här kampanjen tillskrivs den kinesiska spionagegruppen som kallas "ToddyCat". Den här gruppen använder spjutfiskemeddelanden som innehåller hotfulla bilagor, som används för att leverera en mängd olika skadlig programvara och bakdörrar.

CurKeep Backdoor distribueras genom Spear-Phishing Tactics

Forskarna har identifierat ett brett spektrum av anpassade verktyg som används av hotaktörer, som de tror är utformade för att vara engångsför att motverka upptäckt och förhindra kopplingen av olika attacker.

Attacken börjar med ett spjutfiske-e-postmeddelande, noggrant skräddarsytt för att rikta sig mot specifika individer inom kritiska organisationer, som uppmanar dem att öppna en bifogad ZIP-fil. Inom arkivet finns det en digitalt signerad körbar fil, noggrant namngiven för att passa in i e-postmeddelandets sammanhang. Den innehåller också en skadad DLL som utnyttjar en sårbarhet (CVE-2022-23748) i Audinates Dante Discovery-programvara, vilket underlättar sidladdning av CurKeep-skadlig programvara till det komprometterade systemet.

CurKeep, en lätt 10 kb bakdörr, är ansvarig för att etablera persistens på den brutna enheten. Den skickar systeminformation till kommando-och-kontroll-servern (C2) och väntar sedan på ytterligare instruktioner. Denna bakdörr har förmågan att exfiltrera en kataloglista från offrets programfiler, vilket ger insikter i programvaran installerad på datorn. Den kan utföra kommandon och vidarebefordra utdata till C2-servern, samt utföra filbaserade uppgifter enligt operatörernas direktiv.

Förutom CurKeep använder kampanjen andra verktyg, främst loaders, som körs genom liknande DLL-sidoladdningsmetoder. Anmärkningsvärda bland dem är CurLu-lastaren, CurCore och CurLog-lastaren, var och en utrustad med unika funktioner och infektionsmekanismer.

Cyberbrottsverksamheten 'Stayin' Alive' är skräddarsydd enligt de specifika målen

'Stayin' Alive' använder en rad distinkta prover och versioner av dessa lastare och nyttolaster, ofta anpassade för att passa specifika regionala mål, inklusive språk, filnamn och tematiska element. Cybersäkerhetsexperterna tror att det nyligen upptäckta klustret förmodligen bara är en del av en större kampanj som omfattar ytterligare okända verktyg och attacktekniker.

Baserat på det omfattande sortimentet av unika verktyg som används i dessa attacker och deras höga grad av anpassning, är det uppenbart att de är designade för att lätt kunna kasseras. Trots skillnaderna i koden för dessa verktyg upprättar de alla förbindelser med samma infrastruktur, som tidigare har associerats med ToddyCat, en kinesisk cyberspionagegrupp.