CurKeep Backdoor prende di mira le comunicazioni e le entità ufficiali in Asia

Un'operazione recentemente scoperta nota come "Stayin Alive" prende attivamente di mira enti governativi e fornitori di servizi di telecomunicazione in Asia dal 2021. Questa campagna utilizza una vasta gamma di malware per evitare il rilevamento.

Secondo la società di sicurezza informatica Check Point, la maggior parte degli obiettivi della campagna sono concentrati in paesi come Kazakistan, Uzbekistan, Pakistan e Vietnam. La campagna è ancora in corso.

Gli attacchi sembrano provenire dal gruppo di spionaggio cinese "ToddyCat", che si affida a messaggi di spear phishing che contengono allegati dannosi per caricare vari caricatori di malware e backdoor. I ricercatori chiariscono che gli autori delle minacce utilizzano più strumenti personalizzati che ritengono progettati per un uso temporaneo, progettati per eludere il rilevamento e prevenire connessioni tra diversi attacchi.

Catena di infezione backdoor di CurKeep

L'attacco inizia con un'e-mail di spear-phishing meticolosamente realizzata per prendere di mira individui specifici all'interno di organizzazioni critiche, inducendoli ad aprire un file ZIP allegato. All'interno dell'archivio è contenuto un file eseguibile con una firma digitale destinata a corrispondere al contesto dell'e-mail, insieme a una DLL dannosa che sfrutta una vulnerabilità (CVE-2022-23748) nel software Dante Discovery di Audinate. Questa DLL facilita il caricamento del malware "CurKeep" nel sistema.

CurKeep è una backdoor con file di dimensioni ridotte di soli 10 kilobyte che stabilisce la persistenza sul dispositivo compromesso, trasmette informazioni di sistema al server di comando e controllo (C2) e rimane pronto per i comandi. Questa backdoor è in grado di estrarre un elenco di directory dai programmi della vittima, rivelare il software installato sul computer, eseguire comandi e trasmettere i risultati al server C2 e gestire attività basate su file secondo le istruzioni degli operatori.

CurKeep utilizzato insieme ad altri strumenti dannosi

Oltre a CurKeep, la campagna fa uso di altri strumenti, principalmente caricatori, che vengono attivati principalmente tramite metodi simili di caricamento laterale DLL. Tra questi spiccano il caricatore CurLu, CurCore e il caricatore CurLog, ciascuno con funzioni e metodi di infezione distinti.

Check Point rileva che "Stayin' Alive" distribuisce vari campioni e versioni di questi caricatori e payload, spesso adattati a specifici target regionali, inclusi lingua, nomi di file e temi.

La società di sicurezza suggerisce che il cluster appena scoperto fa probabilmente parte di una campagna più ampia che coinvolge ulteriori strumenti non divulgati e strategie di attacco. Considerata l’ampia gamma di strumenti distinti utilizzati negli attacchi e il loro elevato livello di personalizzazione, sembra che siano destinati ad essere utilizzati per una durata limitata.