A CurKeep Backdoor a kommunikációt és az ázsiai hivatalos entitásokat célozza meg

A "Stayin Alive" néven nemrégiben feltárt művelet 2021 óta aktívan megcélozza a kormányzati szerveket és a távközlési szolgáltatókat Ázsiában. Ez a kampány a rosszindulatú programok széles skáláját alkalmazza az észlelés elkerülése érdekében.

A Check Point kiberbiztonsági cég szerint a kampány célpontjainak többsége olyan országokban összpontosul, mint Kazahsztán, Üzbegisztán, Pakisztán és Vietnam. A kampány még tart.

Úgy tűnik, hogy a támadások a „ToddyCat” kínai kémcsoporttól származnak, amely ártalmas mellékleteket tartalmazó lándzsás adathalász üzenetekre támaszkodik a különféle rosszindulatú programok betöltőinek és hátsó ajtóinak betöltéséhez. A kutatók tisztázzák, hogy a fenyegetés szereplői több egyéni eszközt alkalmaznak, amelyekről úgy gondolják, hogy ideiglenes használatra készültek, és amelyek célja az észlelés elkerülése és a különböző támadások közötti kapcsolatok megakadályozása.

CurKeep Backdoor fertőzési lánc

A támadás egy lándzsás adathalász e-maillel kezdődik, amelyet aprólékosan úgy alakítottak ki, hogy bizonyos személyeket célozzanak meg a kritikus szervezeteken belül, és ráveszik őket egy csatolt ZIP-fájl megnyitására. Az archívumban egy digitális aláírást tartalmazó, az e-mail kontextusához igazodó, végrehajtható fájl található, valamint egy rosszindulatú DLL, amely az Audinate Dante Discovery szoftverének biztonsági rését (CVE-2022-23748) használja ki. Ez a DLL megkönnyíti a "CurKeep" rosszindulatú program betöltését a rendszerbe.

A CurKeep egy kis, mindössze 10 kilobájtnyi fájlmérettel rendelkező hátsó ajtó, amely biztosítja az állandóságot a feltört eszközön, továbbítja a rendszerinformációkat a parancs- és vezérlőszervernek (C2), és készen áll a parancsokra. Ez a hátsó ajtó képes kiszűrni a könyvtárak listáját az áldozat programfájljaiból, felfedni a számítógépre telepített szoftvert, parancsokat végrehajtani és az eredményeket a C2 szerverre továbbítani, valamint a fájl alapú feladatokat a kezelők utasításai szerint kezelni.

A CurKeep további rosszindulatú eszközökkel együtt használható

A kampány a CurKeep mellett más eszközöket is igénybe vesz, elsősorban betöltőket, amelyek főként hasonló DLL oldalbetöltési módszerekkel aktiválódnak. Közülük figyelemre méltó a CurLu betöltő, a CurCore és a CurLog betöltő, amelyek mindegyike eltérő funkcióval és fertőzési módszerrel rendelkezik.

A Check Point megjegyzi, hogy a „Stayin' Alive” ezeknek a betöltőknek és rakományoknak különféle mintáit és változatait telepíti, gyakran konkrét regionális célokhoz igazítva, beleértve a nyelvet, a fájlneveket és a témákat.

A biztonsági cég azt sugallja, hogy az újonnan felfedezett klaszter valószínűleg egy kiterjedtebb kampány része, amely további, nem nyilvános eszközöket és támadási stratégiákat foglal magában. Tekintettel a támadásokhoz használt különféle eszközök széles skálájára és magas szintű testreszabhatóságára, úgy tűnik, hogy ezeket korlátozott ideig szánják.