CurKeep Backdoor retter seg mot kommunikasjon og offisielle enheter i Asia
En nylig avdekket operasjon kjent som «Stayin Alive» har vært aktivt rettet mot offentlige organer og telekommunikasjonstjenesteleverandører i Asia siden 2021. Denne kampanjen bruker et mangfold av skadelig programvare for å unngå oppdagelse.
Flertallet av kampanjens mål, ifølge cybersikkerhetsfirmaet Check Point, er konsentrert i land som Kasakhstan, Usbekistan, Pakistan og Vietnam. Kampanjen pågår fortsatt.
Angrepene ser ut til å stamme fra den kinesiske spionasjegruppen 'ToddyCat', som er avhengig av spear-phishing-meldinger med skadelige vedlegg for å laste ulike malware-lastere og bakdører. Forskere presiserer at trusselaktørene bruker flere tilpassede verktøy som de mener er utformet for midlertidig bruk, designet for å unngå deteksjon og forhindre forbindelser mellom ulike angrep.
CurKeep bakdørsinfeksjonskjede
Angrepet starter med en spyd-phishing-e-post som er omhyggelig utformet for å målrette mot spesifikke individer i kritiske organisasjoner, og lokke dem til å åpne en vedlagt ZIP-fil. Inne i arkivet er en kjørbar fil som har en digital signatur beregnet på å matche e-postens kontekst, sammen med en ondsinnet DLL som utnytter en sårbarhet (CVE-2022-23748) i Audinates Dante Discovery-programvare. Denne DLL-filen letter lasting av "CurKeep"-malware til systemet.
CurKeep er en bakdør med en liten filstørrelse på bare 10 kilobyte som etablerer utholdenhet på den kompromitterte enheten, overfører systeminformasjon til kommando-og-kontroll-serveren (C2) og forblir klar for kommandoer. Denne bakdøren er i stand til å eksfiltrere en liste over kataloger fra offerets programfiler, avsløre den installerte programvaren på datamaskinen, utføre kommandoer og overføre resultatene til C2-serveren, og håndtere filbaserte oppgaver i samsvar med operatørenes instruksjoner.
CurKeep brukes sammen med ytterligere ondsinnede verktøy
I tillegg til CurKeep, benytter kampanjen seg av andre verktøy, først og fremst loadere, som hovedsakelig aktiveres gjennom lignende DLL-sidelastingsmetoder. Bemerkelsesverdige blant dem er CurLu-lasteren, CurCore og CurLog-lasteren, som hver har forskjellige funksjoner og infeksjonsmetoder.
Check Point bemerker at "Stayin' Alive" distribuerer forskjellige prøver og versjoner av disse lasterne og nyttelastene, ofte skreddersydd for spesifikke regionale mål, inkludert språk, filnavn og temaer.
Sikkerhetsselskapet antyder at den nyoppdagede klyngen sannsynligvis er en del av en mer omfattende kampanje som involverer flere ikke avslørte verktøy og angrepsstrategier. Gitt det brede utvalget av distinkte verktøy som brukes i angrepene og deres høye tilpasningsnivå, ser det ut til at de er ment å brukes i en begrenset varighet.
