CurKeep Backdoor cible les communications et les entités officielles en Asie

Une opération récemment découverte connue sous le nom de « Stayin Alive » cible activement les organismes gouvernementaux et les fournisseurs de services de télécommunications en Asie depuis 2021. Cette campagne utilise une gamme diversifiée de logiciels malveillants pour éviter d'être détectée.

Selon la société de cybersécurité Check Point, la majorité des cibles de la campagne sont concentrées dans des pays comme le Kazakhstan, l'Ouzbékistan, le Pakistan et le Vietnam. La campagne est toujours en cours.

Les attaques semblent provenir du groupe d'espionnage chinois « ToddyCat », qui s'appuie sur des messages de spear phishing contenant des pièces jointes nuisibles pour charger divers chargeurs de logiciels malveillants et portes dérobées. Les chercheurs précisent que les acteurs de la menace utilisent plusieurs outils personnalisés qu'ils pensent conçus pour un usage temporaire, conçus pour échapper à la détection et empêcher les connexions entre différentes attaques.

Chaîne d'infection par porte dérobée CurKeep

L’attaque commence par un e-mail de spear phishing méticuleusement conçu pour cibler des individus spécifiques au sein d’organisations critiques, les incitant à ouvrir un fichier ZIP joint. L'archive contient un fichier exécutable portant une signature numérique destinée à correspondre au contexte de l'e-mail, ainsi qu'une DLL malveillante exploitant une vulnérabilité (CVE-2022-23748) dans le logiciel Dante Discovery d'Audinate. Cette DLL facilite le chargement du malware « CurKeep » sur le système.

CurKeep est une porte dérobée avec une petite taille de fichier de seulement 10 kilo-octets qui établit la persistance sur l'appareil compromis, transmet les informations système au serveur de commande et de contrôle (C2) et reste prête à recevoir les commandes. Cette porte dérobée est capable d'exfiltrer une liste de répertoires des Program Files de la victime, de révéler les logiciels installés sur l'ordinateur, d'exécuter des commandes et de transmettre les résultats au serveur C2, et de gérer les tâches basées sur les fichiers conformément aux instructions des opérateurs.

CurKeep utilisé avec d'autres outils malveillants

En plus de CurKeep, la campagne utilise d'autres outils, principalement des chargeurs, qui sont principalement activés via des méthodes similaires de chargement latéral de DLL. Parmi eux figurent les chargeurs CurLu, CurCore et CurLog, chacun ayant des fonctions et des méthodes d'infection distinctes.

Check Point note que « Stayin' Alive » déploie divers échantillons et versions de ces chargeurs et charges utiles, souvent adaptés à des cibles régionales spécifiques, notamment la langue, les noms de fichiers et les thèmes.

La société de sécurité suggère que le cluster nouvellement découvert fait probablement partie d'une campagne plus vaste impliquant des outils et des stratégies d'attaque supplémentaires non divulgués. Compte tenu du large éventail d’outils distincts utilisés dans les attaques et de leur haut niveau de personnalisation, il semble qu’ils soient destinés à être utilisés pendant une durée limitée.