Το CurKeep Backdoor στοχεύει τις επικοινωνίες και τις επίσημες οντότητες στην Ασία

Μια επιχείρηση που αποκαλύφθηκε πρόσφατα, γνωστή ως "Stayin Alive" στοχεύει ενεργά κυβερνητικούς φορείς και παρόχους τηλεπικοινωνιακών υπηρεσιών στην Ασία από το 2021. Αυτή η καμπάνια χρησιμοποιεί μια ποικιλία από κακόβουλο λογισμικό για να αποφύγει τον εντοπισμό.

Η πλειοψηφία των στόχων της εκστρατείας, σύμφωνα με την εταιρεία κυβερνοασφάλειας Check Point, συγκεντρώνεται σε χώρες όπως το Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ. Η εκστρατεία είναι ακόμη σε εξέλιξη.

Οι επιθέσεις φαίνεται να προέρχονται από την κινεζική ομάδα κατασκοπείας «ToddyCat», η οποία βασίζεται σε μηνύματα spear-phishing που μεταφέρουν επιβλαβή συνημμένα για τη φόρτωση διαφόρων προγραμμάτων φόρτωσης κακόβουλου λογισμικού και κερκόπορτων. Οι ερευνητές διευκρινίζουν ότι οι φορείς απειλών χρησιμοποιούν πολλαπλά προσαρμοσμένα εργαλεία που πιστεύουν ότι είναι σχεδιασμένα για προσωρινή χρήση, σχεδιασμένα να αποφεύγουν τον εντοπισμό και να αποτρέπουν τις συνδέσεις μεταξύ διαφορετικών επιθέσεων.

CurKeep Backdoor Infection Chain

Η επίθεση ξεκινά με ένα email ηλεκτρονικού ψαρέματος (spear-phishing) που έχει δημιουργηθεί σχολαστικά για να στοχεύει συγκεκριμένα άτομα εντός κρίσιμων οργανισμών, παρακινώντας τα να ανοίξουν ένα συνημμένο αρχείο ZIP. Μέσα στο αρχείο περιέχεται ένα εκτελέσιμο αρχείο που φέρει ψηφιακή υπογραφή που προορίζεται να ταιριάζει με το περιβάλλον του email, μαζί με ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate. Αυτό το DLL διευκολύνει τη φόρτωση του κακόβουλου λογισμικού "CurKeep" στο σύστημα.

Το CurKeep είναι μια κερκόπορτα με ένα μικροσκοπικό μέγεθος αρχείου μόλις 10 kilobyte που εδραιώνει την επιμονή στη συσκευή που έχει παραβιαστεί, μεταδίδει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και παραμένει έτοιμο για εντολές. Αυτή η κερκόπορτα μπορεί να εξάγει μια λίστα καταλόγων από τα Αρχεία Προγράμματος του θύματος, να αποκαλύπτει το εγκατεστημένο λογισμικό στον υπολογιστή, να εκτελεί εντολές και να μεταδίδει τα αποτελέσματα στον διακομιστή C2 και να χειρίζεται εργασίες που βασίζονται σε αρχεία σύμφωνα με τις οδηγίες του χειριστή.

Το CurKeep χρησιμοποιείται παράλληλα με πρόσθετα κακόβουλα εργαλεία

Εκτός από το CurKeep, η καμπάνια χρησιμοποιεί άλλα εργαλεία, κυρίως loaders, τα οποία ενεργοποιούνται κυρίως μέσω παρόμοιων μεθόδων πλευρικής φόρτωσης DLL. Αξιοσημείωτα μεταξύ αυτών είναι τα CurLu loader, CurCore και CurLog loader, καθένα από τα οποία έχει ξεχωριστές λειτουργίες και μεθόδους μόλυνσης.

Το Check Point σημειώνει ότι το "Stayin' Alive" αναπτύσσει διάφορα δείγματα και εκδόσεις αυτών των φορτωτών και ωφέλιμων φορτίων, συχνά προσαρμοσμένα σε συγκεκριμένους τοπικούς στόχους, όπως γλώσσα, ονόματα αρχείων και θέματα.

Η εταιρεία ασφαλείας προτείνει ότι το σύμπλεγμα που ανακαλύφθηκε πρόσφατα είναι πιθανότατα μέρος μιας πιο εκτεταμένης καμπάνιας που περιλαμβάνει πρόσθετα άγνωστα εργαλεία και στρατηγικές επίθεσης. Δεδομένης της μεγάλης ποικιλίας διαφορετικών εργαλείων που χρησιμοποιούνται στις επιθέσεις και του υψηλού επιπέδου προσαρμογής τους, φαίνεται ότι προορίζονται να χρησιμοποιηθούν για περιορισμένη διάρκεια.