CurKeep後門

被稱為 CurKeep 後門的自訂惡意軟體威脅已被確定為最近發現的名為「Stayin' Alive」的網路攻擊活動的關鍵組成部分。這項持續進行的活動於 2021 年開始，特別針對亞洲各國的政府組織和電信服務提供者。該活動背後的攻擊者使用各種「一次性」惡意軟體來避免被發現。

安全研究人員觀察到，該活動的很大一部分目標位於哈薩克、烏茲別克、巴基斯坦和越南等國家。 「活著」運動仍然活躍，並繼續構成威脅。

與此活動相關的網路攻擊歸因於被稱為「ToddyCat」的中國間諜組織。該組織使用帶有威脅附件的魚叉式網路釣魚訊息，用於傳遞各種惡意軟體載入程式和後門。

CurKeep 後門是透過魚叉式網路釣魚策略部署的

研究人員已經發現了威脅行為者使用的各種自訂工具，他們認為這些工具被設計為一次性的，以阻止偵測並防止各種攻擊的關聯。

攻擊從一封魚叉式網路釣魚電子郵件開始，該電子郵件專門針對關鍵組織內的特定個人，敦促他們打開附加的 ZIP 檔案。在存檔中，存在一個經過數位簽署的可執行文件，其名稱經過精心命名，以與電子郵件的上下文保持一致。它還包含一個損壞的 DLL，該 DLL 利用 Audinate 的 Dante Discovery 軟體中的漏洞 (CVE-2022-23748)，從而促進 CurKeep 惡意軟體側面加載到受感染的系統上。

CurKeep 是一個輕量級 10kb 後門，負責在被破壞的裝置上建立持久性。它將系統資訊傳送到命令與控制（C2）伺服器，然後等待進一步的指令。該後門能夠從受害者的程式檔案中竊取目錄列表，從而提供對電腦上安裝的軟體的深入了解。它可以執行命令並將輸出中繼到 C2 伺服器，並根據其操作員的指令執行基於檔案的任務。

除了 CurKeep 之外，該活動還使用了其他工具，主要是載入程序，透過類似的 DLL 側面載入方法執行。其中值得注意的是 CurLu 載入器、CurCore 和 CurLog 載入器，每個載入器都配備了獨特的功能和感染機制。

「活下去」網路犯罪行動根據特定目標量身定制

「Stayin' Alive」採用了這些載入程式和有效負載的一系列不同樣本和版本，經常進行自訂以適應特定的區域目標，包括語言、檔案名稱和主題元素。網路安全專家認為，最近發現的叢集可能只是一個更大的活動的一部分，該活動包含其他未公開的工具和攻擊技術。

基於這些攻擊中使用的各種獨特工具及其高度客製化，很明顯它們被設計為容易被丟棄。儘管這些工具的代碼存在差異，但它們都與相同的基礎設施建立了連接，該基礎設施此前曾與中國網路間諜組織 ToddyCat 相關。