Бекдор CurKeep

Спеціальна загроза зловмисного програмного забезпечення, відома як CurKeep Backdoor, була визначена як ключовий компонент нещодавно розкритої кампанії кібератак під назвою Stayin' Alive. Ця поточна кампанія, яка почалася в 2021 році, була спеціально зосереджена на державних організаціях і постачальниках телекомунікаційних послуг у різних країнах Азії. Зловмисники, які стоять за цією кампанією, використовують різноманітні «одноразові» шкідливі програми, щоб уникнути виявлення.

Дослідники безпеки помітили, що значна частина цілей кампанії розташована в таких країнах, як Казахстан, Узбекистан, Пакистан і В'єтнам. Кампанія Stayin' Alive все ще активна і продовжує становити загрозу.

Кібератаки, пов’язані з цією кампанією, приписують китайській шпигунській групі під назвою «ToddyCat». Ця група використовує фішингові повідомлення, які містять погрозливі вкладення, які використовуються для доставки різноманітних завантажувачів шкідливих програм і бекдорів.

Бекдор CurKeep розгортається за допомогою тактики фішингу

Дослідники визначили широкий набір спеціальних інструментів, які використовують зловмисники, які, на їхню думку, призначені для одноразового використання, щоб перешкодити виявленню та запобігти зв’язку різних атак.

Атака починається з фішингового електронного листа, ретельно підібраного для конкретних осіб у критично важливих організаціях, із закликом відкрити прикріплений файл ZIP. В архіві існує виконуваний файл із цифровим підписом, ретельно названий відповідно до контексту електронного листа. Він також містить пошкоджену бібліотеку DLL, яка використовує вразливість (CVE-2022-23748) у програмному забезпеченні Audinate Dante Discovery, таким чином сприяючи сторонньому завантаженню зловмисного програмного забезпечення CurKeep у скомпрометовану систему.

CurKeep, легкий бекдор розміром 10 Кб, відповідає за встановлення стійкості на зламаному пристрої. Він надсилає системну інформацію на сервер керування (C2), а потім очікує подальших інструкцій. Цей бекдор має здатність викрадати список каталогів із програмних файлів жертви, надаючи інформацію про програмне забезпечення, встановлене на комп’ютері. Він може виконувати команди та передавати вихідні дані на сервер C2, а також виконувати завдання на основі файлів згідно з директивами своїх операторів.

Окрім CurKeep, у кампанії використовуються інші інструменти, насамперед завантажувачі, які виконуються за допомогою подібних методів бокового завантаження DLL. Серед них заслуговують на увагу завантажувач CurLu, CurCore та CurLog, кожен з яких має унікальні функції та механізми зараження.

Кіберзлочинна операція Stayin' Alive розроблена відповідно до конкретних цілей

«Stayin' Alive» використовує ряд різних зразків і версій цих завантажувачів і корисних навантажень, які часто налаштовані відповідно до конкретних регіональних цілей, включаючи мову, імена файлів і тематичні елементи. Експерти з кібербезпеки вважають, що нещодавно виявлений кластер, ймовірно, є лише частиною більшої кампанії, яка включає додаткові нерозголошені інструменти та методи атак.

Завдяки широкому асортименту унікальних інструментів, які використовуються в цих атаках, і їх високому ступеню налаштування стає очевидним, що вони створені таким чином, щоб їх було легко викинути. Незважаючи на відмінності в коді цих інструментів, усі вони встановлюють з’єднання з тією самою інфраструктурою, яка раніше була пов’язана з ToddyCat, китайською групою кібершпигунства.