CurKeep Backdoor er rettet mod kommunikation og officielle enheder i Asien

En nyligt afsløret operation kendt som "Stayin Alive" har været aktivt målrettet mod statslige organer og telekommunikationstjenesteudbydere i Asien siden 2021. Denne kampagne anvender en bred vifte af malware for at undgå opdagelse.

Størstedelen af kampagnens mål er ifølge cybersikkerhedsfirmaet Check Point koncentreret i lande som Kasakhstan, Usbekistan, Pakistan og Vietnam. Kampagnen er stadig i gang.

Angrebene ser ud til at stamme fra den kinesiske spionagegruppe 'ToddyCat', som er afhængig af spear-phishing-meddelelser med skadelige vedhæftede filer for at indlæse forskellige malware-indlæsere og bagdøre. Forskere præciserer, at trusselsaktørerne anvender flere tilpassede værktøjer, som de mener er designet til midlertidig brug, designet til at unddrage sig opdagelse og forhindre forbindelser mellem forskellige angreb.

CurKeep bagdørsinfektionskæde

Angrebet starter med en spear-phishing-e-mail, der er omhyggeligt udformet til at målrette mod specifikke personer i kritiske organisationer, og lokker dem til at åbne en vedhæftet ZIP-fil. Indeholdt i arkivet er en eksekverbar fil med en digital signatur beregnet til at matche e-mailens kontekst sammen med en ondsindet DLL, der udnytter en sårbarhed (CVE-2022-23748) i Audinates Dante Discovery-software. Denne DLL letter indlæsningen af "CurKeep"-malwaren på systemet.

CurKeep er en bagdør med en lille filstørrelse på kun 10 kilobyte, der etablerer persistens på den kompromitterede enhed, transmitterer systeminformation til kommando-og-kontrol-serveren (C2) og forbliver klar til kommandoer. Denne bagdør er i stand til at eksfiltrere en liste over mapper fra offerets programfiler, afsløre den installerede software på computeren, udføre kommandoer og sende resultaterne til C2-serveren og håndtere filbaserede opgaver i overensstemmelse med operatørens instruktioner.

CurKeep bruges sammen med yderligere ondsindede værktøjer

Ud over CurKeep gør kampagnen brug af andre værktøjer, primært loadere, som hovedsageligt aktiveres gennem lignende DLL side-loading metoder. Bemærkelsesværdige blandt dem er CurLu loader, CurCore og CurLog loader, som hver har forskellige funktioner og infektionsmetoder.

Check Point bemærker, at "Stayin' Alive" implementerer forskellige prøver og versioner af disse indlæsere og nyttelaster, ofte skræddersyet til specifikke regionale mål, herunder sprog, filnavne og temaer.

Sikkerhedsfirmaet antyder, at den nyopdagede klynge sandsynligvis er en del af en mere omfattende kampagne, der involverer yderligere ikke-oplyste værktøjer og angrebsstrategier. I betragtning af den brede vifte af forskellige værktøjer, der anvendes i angrebene og deres høje tilpasningsniveau, ser det ud til, at de er beregnet til at blive brugt i en begrænset varighed.