„CurKeep Backdoor“ skirtas ryšiams ir oficialiems subjektams Azijoje

Neseniai atskleista operacija, vadinama „Stayin Alive“, nuo 2021 m. aktyviai taikoma Azijos vyriausybinėms institucijoms ir telekomunikacijų paslaugų teikėjams. Šioje kampanijoje naudojama įvairi kenkėjiška programa, kad būtų išvengta aptikimo.

Kibernetinio saugumo įmonės „Check Point“ teigimu, dauguma kampanijos tikslų yra sutelkti tokiose šalyse kaip Kazachstanas, Uzbekistanas, Pakistanas ir Vietnamas. Kampanija vis dar tęsiasi.

Panašu, kad atakos kilo iš Kinijos šnipinėjimo grupės „ToddyCat“, kuri remiasi sukčiavimo žinutėmis su žalingais priedais, kad įkeltų įvairius kenkėjiškų programų įkroviklius ir užpakalines duris. Tyrėjai paaiškina, kad grėsmės veikėjai naudoja kelis pasirinktinius įrankius, kurie, jų manymu, yra skirti laikinai naudoti, siekiant išvengti aptikimo ir užkirsti kelią ryšiams tarp skirtingų atakų.

CurKeep Backdoor infekcijos grandinė

Ataka prasideda nuo sukčiavimo el. laiško, kuris yra kruopščiai sukurtas taip, kad būtų nukreiptas į konkrečius asmenis svarbiose organizacijose, įtikinant juos atidaryti pridėtą ZIP failą. Archyve yra vykdomasis failas su skaitmeniniu parašu, kuris turi atitikti el. laiško kontekstą, kartu su kenkėjiška DLL, išnaudojančia Audinate Dante Discovery programinės įrangos pažeidžiamumą (CVE-2022-23748). Šis DLL palengvina „CurKeep“ kenkėjiškų programų įkėlimą į sistemą.

„CurKeep“ yra užpakalinės durys, kurių failas yra tik 10 kilobaitų, kuris užtikrina pažeisto įrenginio patvarumą, perduoda sistemos informaciją į komandų ir valdymo (C2) serverį ir yra paruoštas komandoms. Šios užpakalinės durys gali išfiltruoti katalogų sąrašą iš aukos programos failų, atskleisti kompiuteryje įdiegtą programinę įrangą, vykdyti komandas ir perduoti rezultatus į C2 serverį bei atlikti failais pagrįstas užduotis pagal operatorių nurodymus.

CurKeep naudojamas kartu su papildomais kenkėjiškais įrankiais

Be CurKeep, kampanija naudoja kitus įrankius, pirmiausia įkroviklius, kurie daugiausia aktyvuojami naudojant panašius DLL šoninio įkėlimo metodus. Žymūs tarp jų yra „CurLu“ įkroviklis, „CurCore“ ir „CurLog“ įkroviklis, kurių kiekvienas turi skirtingas funkcijas ir infekcijos būdus.

„Check Point“ pažymi, kad „Stayin' Alive“ diegia įvairius šių krautuvų ir naudingųjų krovinių pavyzdžius ir versijas, dažnai pritaikytus konkretiems regioniniams tikslams, įskaitant kalbą, failų pavadinimus ir temas.

Apsaugos įmonė teigia, kad naujai atrastas klasteris greičiausiai yra platesnės kampanijos, apimančios papildomus neatskleidžiamus įrankius ir atakų strategijas, dalis. Atsižvelgiant į platų atakoms naudojamų skirtingų įrankių asortimentą ir aukštą jų pritaikymo lygį, atrodo, kad jie skirti naudoti ribotą laiką.