కర్కీప్ బ్యాక్‌డోర్

CurKeep బ్యాక్‌డోర్‌గా పిలువబడే కస్టమ్ మాల్వేర్ ముప్పు 'Stayin' Alive' అనే ఇటీవల వెలికితీసిన సైబర్‌టాక్ ప్రచారంలో కీలకమైన అంశంగా గుర్తించబడింది. 2021లో ప్రారంభమైన ఈ కొనసాగుతున్న ప్రచారం వివిధ ఆసియా దేశాలలోని ప్రభుత్వ సంస్థలు మరియు టెలికమ్యూనికేషన్ సర్వీస్ ప్రొవైడర్లపై ప్రత్యేకంగా దృష్టి సారించింది. ఈ ప్రచారం వెనుక దాడి చేసేవారు గుర్తించబడకుండా ఉండటానికి విభిన్న శ్రేణి 'డిస్పోజబుల్' మాల్వేర్‌ను ఉపయోగిస్తున్నారు.

కజకిస్తాన్, ఉజ్బెకిస్తాన్, పాకిస్థాన్ మరియు వియత్నాం వంటి దేశాల్లో ప్రచారం యొక్క లక్ష్యాలలో గణనీయమైన భాగం ఉన్నట్లు భద్రతా పరిశోధకులు గమనించారు. 'స్టేయిన్' అలైవ్' ప్రచారం ఇప్పటికీ చురుకుగా ఉంది మరియు ముప్పును కలిగిస్తుంది.

ఈ ప్రచారానికి సంబంధించిన సైబర్‌టాక్‌లు 'టాడీక్యాట్'గా సూచించబడే చైనీస్ గూఢచర్య బృందానికి ఆపాదించబడ్డాయి. ఈ సమూహం బెదిరింపు జోడింపులను కలిగి ఉన్న స్పియర్-ఫిషింగ్ సందేశాలను ఉపయోగిస్తుంది, ఇవి వివిధ రకాల మాల్వేర్ లోడర్‌లు మరియు బ్యాక్‌డోర్‌లను అందించడానికి ఉపయోగించబడతాయి.

కర్కీప్ బ్యాక్‌డోర్ స్పియర్-ఫిషింగ్ వ్యూహాల ద్వారా అమలు చేయబడుతుంది

పరిశోధకులు బెదిరింపు నటులు ఉపయోగించే అనేక రకాల కస్టమ్ టూల్స్‌ను గుర్తించారు, అవి గుర్తించడాన్ని నిరోధించడానికి మరియు వివిధ దాడుల సంబంధాన్ని నిరోధించడానికి పునర్వినియోగపరచదగినవిగా రూపొందించబడ్డాయి.

దాడి స్పియర్-ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది, క్లిష్టమైన సంస్థలలోని నిర్దిష్ట వ్యక్తులను లక్ష్యంగా చేసుకునేలా జాగ్రత్తగా రూపొందించబడింది, జోడించిన జిప్ ఫైల్‌ను తెరవమని వారిని ప్రోత్సహిస్తుంది. ఆర్కైవ్‌లో, డిజిటల్‌గా సంతకం చేయబడిన ఎక్జిక్యూటబుల్ ఉంది, ఇమెయిల్ సందర్భానికి అనుగుణంగా జాగ్రత్తగా పేరు పెట్టబడింది. ఇది ఆడినేట్ యొక్క డాంటే డిస్కవరీ సాఫ్ట్‌వేర్‌లో దుర్బలత్వాన్ని (CVE-2022-23748) ఉపయోగించుకునే పాడైన DLLని కూడా కలిగి ఉంది, తద్వారా రాజీపడిన సిస్టమ్‌లోకి CurKeep మాల్వేర్ యొక్క సైడ్-లోడింగ్‌ను సులభతరం చేస్తుంది.

CurKeep, ఒక తేలికైన 10kb బ్యాక్‌డోర్, ఉల్లంఘించిన పరికరంపై పట్టుదలను ఏర్పాటు చేయడానికి బాధ్యత వహిస్తుంది. ఇది సిస్టమ్ సమాచారాన్ని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు పంపుతుంది మరియు తదుపరి సూచనల కోసం వేచి ఉంది. ఈ బ్యాక్‌డోర్ బాధితుని ప్రోగ్రామ్ ఫైల్‌ల నుండి డైరెక్టరీ జాబితాను వెలికితీసే సామర్థ్యాన్ని కలిగి ఉంటుంది, కంప్యూటర్‌లో ఇన్‌స్టాల్ చేయబడిన సాఫ్ట్‌వేర్‌పై అంతర్దృష్టులను అందిస్తుంది. ఇది ఆదేశాలను అమలు చేయగలదు మరియు అవుట్‌పుట్‌ను C2 సర్వర్‌కు ప్రసారం చేయగలదు, అలాగే దాని ఆపరేటర్‌ల ఆదేశాల ప్రకారం ఫైల్ ఆధారిత పనులను కూడా చేయవచ్చు.

CurKeepతో పాటు, ప్రచారం ఇతర సాధనాలను ఉపయోగిస్తుంది, ప్రధానంగా లోడర్లు, ఇలాంటి DLL సైడ్-లోడింగ్ పద్ధతుల ద్వారా అమలు చేయబడతాయి. వాటిలో గుర్తించదగినవి CurLu లోడర్, CurCore మరియు CurLog లోడర్, ప్రతి ఒక్కటి ప్రత్యేకమైన కార్యాచరణలు మరియు ఇన్ఫెక్షన్ మెకానిజమ్‌లను కలిగి ఉంటాయి.

'స్టేయిన్' అలైవ్' సైబర్ క్రైమ్ ఆపరేషన్ నిర్దిష్ట లక్ష్యాల ప్రకారం రూపొందించబడింది

'Stayin' Alive' ఈ లోడర్‌లు మరియు పేలోడ్‌ల యొక్క విభిన్న నమూనాలు మరియు సంస్కరణల శ్రేణిని ఉపయోగిస్తుంది, భాష, ఫైల్ పేర్లు మరియు నేపథ్య అంశాలతో సహా నిర్దిష్ట ప్రాంతీయ లక్ష్యాలకు అనుగుణంగా తరచుగా అనుకూలీకరించబడుతుంది. సైబర్ సెక్యూరిటీ నిపుణులు ఇటీవల వెలికితీసిన క్లస్టర్ బహుశా అదనపు బహిర్గతం చేయని సాధనాలు మరియు దాడి సాంకేతికతలను కలిగి ఉన్న ఒక పెద్ద ప్రచారంలో కేవలం ఒక భాగమేనని భావిస్తున్నారు.

ఈ దాడులలో ఉపయోగించిన ప్రత్యేక సాధనాల యొక్క విస్తృతమైన కలగలుపు మరియు వాటి అధిక స్థాయి అనుకూలీకరణ ఆధారంగా, అవి సులభంగా విస్మరించబడేలా రూపొందించబడినట్లు స్పష్టంగా తెలుస్తుంది. ఈ సాధనాల కోడ్‌లో తేడాలు ఉన్నప్పటికీ, అవన్నీ ఒకే మౌలిక సదుపాయాలతో కనెక్షన్‌లను ఏర్పరుస్తాయి, ఇది గతంలో చైనీస్ సైబర్ గూఢచర్య సమూహం అయిన ToddyCatతో అనుబంధించబడింది.