CurKeep バックドアはアジアの通信と公的機関を標的に

最近発覚した「Stayin Alive」として知られる作戦は、2021 年以降、アジアの政府機関や通信サービス プロバイダーを積極的に標的にしています。この作戦では、検出を回避するためにさまざまなマルウェアが使用されています。

サイバーセキュリティ会社チェック・ポイントによると、キャンペーンの標的の大部分はカザフスタン、ウズベキスタン、パキスタン、ベトナムなどの国に集中している。キャンペーンはまだ継続中です。

この攻撃は、中国のスパイ集団「ToddyCat」から発生したものとみられ、有害な添付ファイルを含むスピアフィッシングメッセージを利用して、さまざまなマルウェアローダーやバックドアをロードしています。研究者らは、攻撃者が複数のカスタム ツールを使用していることを明らかにしています。これらのツールは一時的な使用を目的として設計されており、検出を逃れ、異なる攻撃間のつながりを防ぐように設計されていると考えられています。

CurKeep バックドア感染チェーン

この攻撃は、重要な組織内の特定の個人をターゲットにするために細心の注意を払って作成されたスピア フィッシングメールから始まり、添付された ZIP ファイルを開かせるよう誘導します。アーカイブ内には、電子メールのコンテキストと一致することを目的としたデジタル署名が付いた実行可能ファイルと、Audinate の Dante Discovery ソフトウェアの脆弱性 (CVE-2022-23748) を悪用する悪意のある DLL が含まれています。この DLL は、「CurKeep」マルウェアのシステムへのロードを容易にします。

CurKeep はわずか 10 キロバイトの小さなファイル サイズを持つバックドアで、侵害されたデバイス上で永続性を確立し、システム情報をコマンド アンド コントロール (C2) サーバーに送信し、コマンドの準備を整えたままにします。このバックドアは、被害者のプログラム ファイルからディレクトリのリストを盗み出し、コンピュータにインストールされているソフトウェアを明らかにし、コマンドを実行して結果を C2 サーバーに送信し、オペレータの指示に従ってファイルベースのタスクを処理することができます。

CurKeep が追加の悪意のあるツールとともに使用される

このキャンペーンでは、CurKeep に加えて、他のツール、主にローダーも利用しており、これらのツールは主に同様の DLL サイドローディング メソッドを通じてアクティブ化されます。その中で注目に値するのは、CurLu ローダー、CurCore、および CurLog ローダーであり、それぞれに異なる機能と感染方法があります。

Check Point は、「Stayin' Alive」では、これらのローダーとペイロードのさまざまなサンプルとバージョンが展開されており、多くの場合、言語、ファイル名、テーマなど、特定の地域ターゲットに合わせて調整されていると述べています。

セキュリティ会社は、新たに発見されたクラスターは、追加の未公開ツールや攻撃戦略を含む、より大規模なキャンペーンの一部である可能性が高いと示唆しています。攻撃に使用されたさまざまなツールとその高度なカスタマイズを考慮すると、これらは限られた期間のみ使用されることを意図していると思われます。