CurKeep Arka Kapısı

CurKeep Arka Kapısı olarak bilinen özel kötü amaçlı yazılım tehdidi, yakın zamanda ortaya çıkarılan 'Stayin' Alive' adlı siber saldırı kampanyasının önemli bir bileşeni olarak tanımlandı. 2021'de başlayan ve devam eden bu kampanya, özellikle çeşitli Asya ülkelerindeki devlet kuruluşlarına ve telekomünikasyon hizmet sağlayıcılarına odaklandı. Bu kampanyanın arkasındaki saldırganlar, tespit edilmekten kaçınmak için çeşitli 'tek kullanımlık' kötü amaçlı yazılımlar kullanıyor.

Güvenlik araştırmacıları, kampanya hedeflerinin önemli bir kısmının Kazakistan, Özbekistan, Pakistan ve Vietnam gibi ülkelerde bulunduğunu gözlemledi. 'Hayatta Kalmak' kampanyası hâlâ aktif ve tehdit oluşturmaya devam ediyor.

Bu kampanyayla bağlantılı siber saldırılar, 'ToddyCat' olarak adlandırılan Çinli casusluk grubuna atfediliyor. Bu grup, çeşitli kötü amaçlı yazılım yükleyicileri ve arka kapıları dağıtmak için kullanılan, tehdit edici ekler taşıyan hedef odaklı kimlik avı mesajları kullanıyor.

CurKeep Arka Kapısı Mızrak Kimlik Avı Taktikleri Yoluyla Kullanılıyor

Araştırmacılar, tehdit aktörleri tarafından kullanılan ve çeşitli saldırıların tespitini engellemek ve aralarındaki bağlantıyı önlemek için tek kullanımlık olacak şekilde tasarlandığına inandıkları çok çeşitli özel araçlar belirlediler.

Saldırı, kritik kuruluşlardaki belirli kişileri hedef alacak şekilde dikkatle tasarlanmış ve onları ekteki ZIP dosyasını açmaya teşvik eden bir hedef odaklı kimlik avı e-postasıyla başlıyor. Arşivin içinde, e-postanın içeriğine uygun olacak şekilde dikkatlice adlandırılmış, dijital olarak imzalanmış bir yürütülebilir dosya bulunmaktadır. Ayrıca, Audinate'in Dante Discovery yazılımındaki bir güvenlik açığından (CVE-2022-23748) yararlanan, böylece CurKeep kötü amaçlı yazılımının ele geçirilen sisteme yandan yüklenmesini kolaylaştıran bozuk bir DLL içerir.

10kb'lik hafif bir arka kapı olan CurKeep, ihlal edilen cihazda kalıcılığın sağlanmasından sorumludur. Sistem bilgilerini komuta ve kontrol (C2) sunucusuna gönderir ve ardından daha sonraki talimatları bekler. Bu arka kapı, kurbanın Program Dosyalarından bir dizin listesi çıkarma ve bilgisayarda yüklü olan yazılım hakkında bilgi sağlama yeteneğine sahiptir. Komutları yürütebilir ve çıktıyı C2 sunucusuna iletebilir, ayrıca operatörlerinin direktiflerine göre dosya tabanlı görevleri gerçekleştirebilir.

Kampanya, CurKeep'e ek olarak benzer DLL yan yükleme yöntemleriyle yürütülen, başta yükleyiciler olmak üzere başka araçları da kullanıyor. Bunların arasında dikkat çekenler, her biri benzersiz işlevler ve enfeksiyon mekanizmalarıyla donatılmış CurLu yükleyici, CurCore ve CurLog yükleyicidir.

'Hayatta Kalma' Siber Suç Operasyonu Belirli Hedeflere Göre Özelleştirildi

'Stayin' Alive', bu yükleyicilerin ve yüklerin, genellikle dil, dosya adları ve tematik öğeler de dahil olmak üzere belirli bölgesel hedeflere uyacak şekilde özelleştirilmiş bir dizi farklı örnek ve versiyonunu kullanır. Siber güvenlik uzmanları, yakın zamanda ortaya çıkarılan kümenin muhtemelen ek açıklanmayan araçları ve saldırı tekniklerini kapsayan daha büyük bir kampanyanın parçası olduğuna inanıyor.

Bu saldırılarda kullanılan benzersiz araçların geniş çeşitliliğine ve yüksek düzeydeki özelleştirmelerine bakıldığında, bunların kolayca atılacak şekilde tasarlandıkları açıktır. Bu araçların kodlarındaki farklılıklara rağmen hepsi daha önce Çinli bir siber casusluk grubu olan ToddyCat ile ilişkilendirilen aynı altyapıyla bağlantı kuruyor.