Backdoor CurKeep atakuje komunikację i oficjalne podmioty w Azji

Odkryta niedawno operacja znana jako „Stayin Alive” od 2021 r. aktywnie atakuje organy rządowe i dostawców usług telekomunikacyjnych w Azji. W tej kampanii wykorzystuje się różnorodne złośliwe oprogramowanie, aby uniknąć wykrycia.

Według firmy Check Point zajmującej się cyberbezpieczeństwem większość celów kampanii koncentruje się w takich krajach jak Kazachstan, Uzbekistan, Pakistan i Wietnam. Kampania nadal trwa.

Wydaje się, że ataki pochodzą od chińskiej grupy szpiegowskiej „ToddyCat”, która wykorzystuje wiadomości typu spear-phishing zawierające szkodliwe załączniki w celu załadowania różnych programów ładujących złośliwe oprogramowanie i tylnych drzwi. Badacze wyjaśniają, że ugrupowania zagrażające wykorzystują wiele niestandardowych narzędzi, które ich zdaniem są przeznaczone do użytku tymczasowego i zaprojektowane tak, aby uniknąć wykrycia i zapobiegania powiązaniom między różnymi atakami.

Łańcuch infekcji backdoorem CurKeep

Atak rozpoczyna się od starannie przygotowanej wiadomości e-mail typu spear-phishing, skierowanej do konkretnych osób w kluczowych organizacjach i namawiającej je do otwarcia załączonego pliku ZIP. W archiwum znajduje się plik wykonywalny opatrzony podpisem cyfrowym pasującym do kontekstu wiadomości e-mail, a także złośliwa biblioteka DLL wykorzystująca lukę (CVE-2022-23748) w oprogramowaniu Dante Discovery firmy Audinate. Ta biblioteka DLL ułatwia ładowanie złośliwego oprogramowania „CurKeep” do systemu.

CurKeep to backdoor z niewielkim plikiem o wielkości zaledwie 10 kilobajtów, który ustanawia trwałość na zaatakowanym urządzeniu, przesyła informacje o systemie do serwera dowodzenia i kontroli (C2) i pozostaje gotowy na polecenia. Ten backdoor potrafi wydobywać listę katalogów z plików programów ofiary, ujawniać oprogramowanie zainstalowane na komputerze, wykonywać polecenia i przesyłać wyniki do serwera C2 oraz wykonywać zadania oparte na plikach zgodnie z instrukcjami operatorów.

CurKeep używany razem z dodatkowymi złośliwymi narzędziami

Oprócz CurKeep kampania wykorzystuje inne narzędzia, przede wszystkim moduły ładujące, które są aktywowane głównie za pomocą podobnych metod bocznego ładowania bibliotek DLL. Wśród nich godne uwagi są moduł ładujący CurLu, CurCore i moduł ładujący CurLog, każdy z odrębnymi funkcjami i metodami infekcji.

Check Point zauważa, że „Stayin' Alive” wdraża różne próbki i wersje tych programów ładujących i ładunków, często dostosowane do konkretnych celów regionalnych, w tym języka, nazw plików i motywów.

Firma zajmująca się bezpieczeństwem sugeruje, że nowo odkryty klaster jest prawdopodobnie częścią szerszej kampanii obejmującej dodatkowe, nieujawnione narzędzia i strategie ataków. Biorąc pod uwagę szeroki wachlarz różnych narzędzi wykorzystywanych w atakach i ich wysoki poziom dostosowania, wydaje się, że są one przeznaczone do użytku przez ograniczony czas.