CurKeep Backdoor richt zich op communicatie- en officiële entiteiten in Azië

Een onlangs ontdekte operatie die bekend staat als "Stayin Alive" richt zich sinds 2021 actief op overheidsinstanties en telecommunicatiedienstverleners in Azië. Deze campagne maakt gebruik van een breed scala aan malware om detectie te voorkomen.

Volgens cyberbeveiligingsbedrijf Check Point zijn de meeste doelwitten van de campagne geconcentreerd in landen als Kazachstan, Oezbekistan, Pakistan en Vietnam. De campagne loopt nog steeds.

De aanvallen lijken afkomstig te zijn van de Chinese spionagegroep 'ToddyCat', die afhankelijk is van spearphishing-berichten met schadelijke bijlagen om verschillende malware-laders en backdoors te laden. Onderzoekers verduidelijken dat de bedreigingsactoren meerdere aangepaste tools gebruiken waarvan zij denken dat ze zijn ontworpen voor tijdelijk gebruik, ontworpen om detectie te omzeilen en verbindingen tussen verschillende aanvallen te voorkomen.

CurKeep achterdeurinfectieketen

De aanval begint met een spearphishing-e-mail die zorgvuldig is samengesteld om specifieke personen binnen kritieke organisaties te targeten en hen over te halen een bijgevoegd ZIP-bestand te openen. Het archief bevat een uitvoerbaar bestand met een digitale handtekening die bedoeld is om overeen te komen met de context van de e-mail, samen met een kwaadaardige DLL die misbruik maakt van een kwetsbaarheid (CVE-2022-23748) in de Dante Discovery-software van Audinate. Deze DLL vergemakkelijkt het laden van de "CurKeep" -malware op het systeem.

CurKeep is een achterdeur met een kleine bestandsgrootte van slechts 10 kilobytes die persistentie op het aangetaste apparaat tot stand brengt, systeeminformatie naar de command-and-control (C2)-server verzendt en gereed blijft voor opdrachten. Deze achterdeur kan een lijst met mappen uit de programmabestanden van het slachtoffer exfiltreren, de geïnstalleerde software op de computer onthullen, opdrachten uitvoeren en de resultaten naar de C2-server verzenden, en op bestanden gebaseerde taken afhandelen in overeenstemming met de instructies van de operator.

CurKeep wordt gebruikt naast aanvullende kwaadaardige tools

Naast CurKeep maakt de campagne gebruik van andere tools, voornamelijk laders, die voornamelijk worden geactiveerd via vergelijkbare DLL-side-loading-methoden. Opvallend onder hen zijn de CurLu-lader, CurCore en CurLog-lader, die elk verschillende functies en infectiemethoden hebben.

Check Point merkt op dat "Stayin' Alive" verschillende voorbeelden en versies van deze laders en payloads inzet, vaak afgestemd op specifieke regionale doelen, waaronder taal, bestandsnamen en thema's.

Het beveiligingsbedrijf suggereert dat het nieuw ontdekte cluster waarschijnlijk deel uitmaakt van een uitgebreidere campagne met aanvullende niet-openbaar gemaakte tools en aanvalsstrategieën. Gezien het brede scala aan verschillende tools die bij de aanvallen worden gebruikt en het hoge aanpassingsniveau, lijkt het erop dat ze bedoeld zijn voor een beperkte duur.