CurKeep Backdoor tem como alvo comunicações e entidades oficiais na Ásia

Uma operação recentemente descoberta conhecida como “Stayin Alive” tem como alvo ativo órgãos governamentais e provedores de serviços de telecomunicações na Ásia desde 2021. Esta campanha emprega uma gama diversificada de malware para evitar a detecção.

A maioria dos alvos da campanha, segundo a empresa de segurança cibernética Check Point, está concentrada em países como Cazaquistão, Uzbequistão, Paquistão e Vietname. A campanha ainda está em andamento.

Os ataques parecem ter origem no grupo de espionagem chinês ‘ToddyCat’, que se baseia em mensagens de spear-phishing que transportam anexos prejudiciais para carregar vários carregadores de malware e backdoors. Os pesquisadores esclarecem que os atores da ameaça empregam diversas ferramentas personalizadas que acreditam serem projetadas para uso temporário, projetadas para evitar a detecção e evitar conexões entre diferentes ataques.

Cadeia de infecção de backdoor CurKeep

O ataque começa com um e-mail de spearphishing meticulosamente elaborado para atingir indivíduos específicos em organizações críticas, persuadindo-os a abrir um arquivo ZIP anexado. Contido no arquivo está um arquivo executável com uma assinatura digital destinada a corresponder ao contexto do e-mail, junto com uma DLL maliciosa que explora uma vulnerabilidade (CVE-2022-23748) no software Dante Discovery da Audinate. Esta DLL facilita o carregamento do malware “CurKeep” no sistema.

CurKeep é um backdoor com um tamanho de arquivo minúsculo de apenas 10 kilobytes que estabelece persistência no dispositivo comprometido, transmite informações do sistema para o servidor de comando e controle (C2) e permanece pronto para comandos. Este backdoor é capaz de exfiltrar uma lista de diretórios dos Arquivos de Programas da vítima, revelando o software instalado no computador, executando comandos e transmitindo os resultados para o servidor C2, e lidando com tarefas baseadas em arquivos de acordo com as instruções dos operadores.

CurKeep usado junto com ferramentas maliciosas adicionais

Além do CurKeep, a campanha utiliza outras ferramentas, principalmente carregadores, que são ativados principalmente por meio de métodos semelhantes de carregamento lateral de DLL. Destacam-se entre eles o carregador CurLu, o CurCore e o carregador CurLog, cada um com funções e métodos de infecção distintos.

A Check Point observa que “Stayin’ Alive” implanta vários exemplos e versões desses carregadores e cargas úteis, muitas vezes adaptados para alvos regionais específicos, incluindo idioma, nomes de arquivos e temas.

A empresa de segurança sugere que o cluster recém-descoberto provavelmente faz parte de uma campanha mais extensa que envolve ferramentas e estratégias de ataque adicionais não divulgadas. Dada a grande variedade de ferramentas distintas utilizadas nos ataques e o seu elevado nível de personalização, parece que se destinam a ser utilizadas por um período limitado.