CurKeep后门

被称为 CurKeep 后门的自定义恶意软件威胁已被确定为最近发现的名为“Stayin' Alive”的网络攻击活动的关键组成部分。这项持续进行的活动于 2021 年开始，特别针对亚洲各国的政府组织和电信服务提供商。该活动背后的攻击者使用各种“一次性”恶意软件来避免被发现。

安全研究人员观察到，该活动的很大一部分目标位于哈萨克斯坦、乌兹别克斯坦、巴基斯坦和越南等国家。 “活着”运动仍然活跃，并继续构成威胁。

与此活动相关的网络攻击归因于被称为“ToddyCat”的中国间谍组织。该组织使用带有威胁附件的鱼叉式网络钓鱼消息，用于传递各种恶意软件加载程序和后门。

CurKeep 后门是通过鱼叉式网络钓鱼策略部署的

研究人员已经发现了威胁行为者使用的各种自定义工具，他们认为这些工具被设计为一次性的，以阻止检测并防止各种攻击的关联。

攻击从一封鱼叉式网络钓鱼电子邮件开始，该电子邮件专门针对关键组织内的特定个人，敦促他们打开附加的 ZIP 文件。在存档中，存在一个经过数字签名的可执行文件，其名称经过精心命名，以与电子邮件的上下文保持一致。它还包含一个损坏的 DLL，该 DLL 利用 Audinate 的 Dante Discovery 软件中的漏洞 (CVE-2022-23748)，从而促进 CurKeep 恶意软件侧面加载到受感染的系统上。

CurKeep 是一个轻量级 10kb 后门，负责在被破坏的设备上建立持久性。它将系统信息发送到命令与控制（C2）服务器，然后等待进一步的指令。该后门能够从受害者的程序文件中窃取目录列表，从而提供对计算机上安装的软件的深入了解。它可以执行命令并将输出中继到 C2 服务器，以及根据其操作员的指令执行基于文件的任务。

除了 CurKeep 之外，该活动还使用了其他工具，主要是加载程序，通过类似的 DLL 侧面加载方法执行。其中值得注意的是 CurLu 加载器、CurCore 和 CurLog 加载器，每个加载器都配备了独特的功能和感染机制。

“活下去”网络犯罪行动根据具体目标量身定制

“Stayin' Alive”采用了这些加载程序和有效负载的一系列不同样本和版本，经常进行定制以适应特定的区域目标，包括语言、文件名和主题元素。网络安全专家认为，最近发现的集群可能只是一个更大的活动的一部分，该活动包含其他未公开的工具和攻击技术。

基于这些攻击中使用的各种独特工具及其高度定制化，很明显它们被设计为很容易被丢弃。尽管这些工具的代码存在差异，但它们都与相同的基础设施建立了连接，该基础设施此前曾与中国网络间谍组织 ToddyCat 有关。