Cửa sau CurKeep

Mối đe dọa phần mềm độc hại tùy chỉnh có tên CurKeep Backdoor đã được xác định là thành phần chính trong chiến dịch tấn công mạng mới được phát hiện gần đây có tên 'Stayin' Alive'. Chiến dịch đang diễn ra này, bắt đầu vào năm 2021, đặc biệt tập trung vào các tổ chức chính phủ và nhà cung cấp dịch vụ viễn thông ở nhiều quốc gia châu Á khác nhau. Những kẻ tấn công đằng sau chiến dịch này sử dụng nhiều loại phần mềm độc hại 'dùng một lần' để tránh bị phát hiện.

Các nhà nghiên cứu bảo mật đã quan sát thấy rằng một phần đáng kể mục tiêu của chiến dịch nằm ở các quốc gia như Kazakhstan, Uzbekistan, Pakistan và Việt Nam. Chiến dịch 'Stayin' Alive' vẫn đang hoạt động và tiếp tục gây ra mối đe dọa.

Các cuộc tấn công mạng liên quan đến chiến dịch này được cho là do nhóm gián điệp Trung Quốc có tên là 'ToddyCat' thực hiện. Nhóm này sử dụng các tin nhắn lừa đảo trực tuyến mang các tệp đính kèm đe dọa, được sử dụng để cung cấp nhiều loại trình tải phần mềm độc hại và cửa hậu.

Cửa hậu CurKeep được triển khai thông qua chiến thuật lừa đảo trực tuyến

Các nhà nghiên cứu đã xác định được một loạt các công cụ tùy chỉnh được các tác nhân đe dọa sử dụng. Họ tin rằng chúng được thiết kế để sử dụng một lần nhằm ngăn chặn việc phát hiện và ngăn chặn mối liên kết của các cuộc tấn công khác nhau.

Cuộc tấn công bắt đầu bằng một email lừa đảo trực tuyến, được thiết kế cẩn thận để nhắm mục tiêu vào các cá nhân cụ thể trong các tổ chức quan trọng, thúc giục họ mở tệp ZIP đính kèm. Trong kho lưu trữ, tồn tại một tệp thực thi được ký điện tử, được đặt tên cẩn thận để phù hợp với ngữ cảnh của email. Nó cũng chứa một DLL bị hỏng khai thác lỗ hổng (CVE-2022-23748) trong phần mềm Dante Discovery của Audinate, do đó tạo điều kiện thuận lợi cho việc tải phần mềm độc hại CurKeep bên cạnh vào hệ thống bị xâm nhập.

CurKeep, một cửa sau nhẹ 10kb, chịu trách nhiệm thiết lập tính bền vững trên thiết bị bị vi phạm. Nó gửi thông tin hệ thống đến máy chủ ra lệnh và kiểm soát (C2) và sau đó chờ hướng dẫn thêm. Cửa hậu này có khả năng lọc danh sách thư mục từ Tệp chương trình của nạn nhân, cung cấp thông tin chi tiết về phần mềm được cài đặt trên máy tính. Nó có thể thực thi các lệnh và chuyển tiếp đầu ra đến máy chủ C2, cũng như thực hiện các tác vụ dựa trên tệp theo chỉ thị của người vận hành.

Ngoài CurKeep, chiến dịch còn sử dụng các công cụ khác, chủ yếu là các trình tải, được thực thi thông qua các phương pháp tải phụ DLL tương tự. Đáng chú ý trong số đó là trình tải CurLu, CurCore và CurLog, mỗi trình tải đều được trang bị các chức năng và cơ chế lây nhiễm độc đáo.

Hoạt động tội phạm mạng 'Sống sót' được điều chỉnh theo các mục tiêu cụ thể

'Stayin' Alive' sử dụng nhiều mẫu và phiên bản riêng biệt của các trình tải và tải trọng này, thường được tùy chỉnh để phù hợp với các mục tiêu khu vực cụ thể, bao gồm ngôn ngữ, tên tệp và các thành phần chủ đề. Các chuyên gia an ninh mạng tin rằng cụm phát hiện gần đây có lẽ chỉ là một phần của chiến dịch lớn hơn bao gồm các công cụ và kỹ thuật tấn công bổ sung chưa được tiết lộ.

Dựa trên sự đa dạng của các công cụ độc đáo được sử dụng trong các cuộc tấn công này và mức độ tùy biến cao của chúng, rõ ràng là chúng được thiết kế để dễ dàng loại bỏ. Bất chấp sự khác biệt về mã của các công cụ này, chúng đều thiết lập kết nối với cùng một cơ sở hạ tầng mà trước đây được liên kết với ToddyCat, một nhóm gián điệp mạng của Trung Quốc.