CurKeep Backdoor zielt auf Kommunikation und offizielle Stellen in Asien ab

Eine kürzlich aufgedeckte Operation namens „Stayin Alive“ zielt seit 2021 aktiv auf Regierungsbehörden und Telekommunikationsdienstleister in Asien ab. Diese Kampagne setzt eine Vielzahl von Malware ein, um einer Entdeckung zu entgehen.

Laut dem Cybersicherheitsunternehmen Check Point konzentrieren sich die meisten Ziele der Kampagne auf Länder wie Kasachstan, Usbekistan, Pakistan und Vietnam. Die Kampagne läuft noch.

Die Angriffe scheinen von der chinesischen Spionagegruppe „ToddyCat“ auszugehen, die sich auf Spear-Phishing-Nachrichten mit schädlichen Anhängen verlässt, um verschiedene Malware-Loader und Hintertüren zu laden. Die Forscher stellen klar, dass die Bedrohungsakteure mehrere benutzerdefinierte Tools verwenden, die ihrer Meinung nach für den vorübergehenden Einsatz konzipiert sind, um sich der Erkennung zu entziehen und Verbindungen zwischen verschiedenen Angriffen zu verhindern.

CurKeep Backdoor-Infektionskette

Der Angriff beginnt mit einer Spear-Phishing-E-Mail, die sorgfältig auf bestimmte Personen in wichtigen Organisationen zugeschnitten ist und diese dazu verleitet, eine angehängte ZIP-Datei zu öffnen. Das Archiv enthält eine ausführbare Datei mit einer digitalen Signatur, die zum Kontext der E-Mail passen soll, sowie eine schädliche DLL, die eine Schwachstelle (CVE-2022-23748) in der Dante Discovery-Software von Audinate ausnutzt. Diese DLL erleichtert das Laden der Malware „CurKeep“ auf das System.

CurKeep ist eine Hintertür mit einer winzigen Dateigröße von nur 10 Kilobyte, die eine Persistenz auf dem kompromittierten Gerät herstellt, Systeminformationen an den Command-and-Control-Server (C2) überträgt und für Befehle bereit bleibt. Diese Hintertür ist in der Lage, eine Liste von Verzeichnissen aus den Programmdateien des Opfers zu extrahieren, die auf dem Computer installierte Software offenzulegen, Befehle auszuführen und die Ergebnisse an den C2-Server zu übertragen sowie dateibasierte Aufgaben gemäß den Anweisungen des Bedieners abzuwickeln.

CurKeep wird zusammen mit weiteren bösartigen Tools verwendet

Neben CurKeep nutzt die Kampagne weitere Tools, vor allem Loader, die hauptsächlich über ähnliche DLL-Sideloading-Methoden aktiviert werden. Zu nennen sind unter ihnen der CurLu-Loader, CurCore und CurLog-Loader, die jeweils unterschiedliche Funktionen und Infektionsmethoden haben.

Check Point weist darauf hin, dass „Stayin‘ Alive“ verschiedene Beispiele und Versionen dieser Loader und Payloads einsetzt, die oft auf bestimmte regionale Ziele zugeschnitten sind, einschließlich Sprache, Dateinamen und Themen.

Das Sicherheitsunternehmen geht davon aus, dass der neu entdeckte Cluster wahrscheinlich Teil einer umfangreicheren Kampagne ist, die weitere unbekannte Tools und Angriffsstrategien umfasst. Angesichts der breiten Palette unterschiedlicher Tools, die bei den Angriffen eingesetzt werden, und ihres hohen Individualisierungsgrads scheint es, dass sie nur für eine begrenzte Dauer eingesetzt werden sollen.