Бэкдор CurKeep нацелен на коммуникационные и официальные организации в Азии

Недавно раскрытая операция, известная как «Остаться в живых», с 2021 года активно нацелена на правительственные органы и поставщиков телекоммуникационных услуг в Азии. Чтобы избежать обнаружения, в этой кампании используется широкий спектр вредоносного ПО.

По данным компании Check Point, занимающейся кибербезопасностью, большинство целей кампании сконцентрированы в таких странах, как Казахстан, Узбекистан, Пакистан и Вьетнам. Кампания все еще продолжается.

Судя по всему, атаки исходят от китайской шпионской группы ToddyCat, которая использует целевые фишинговые сообщения, содержащие вредоносные вложения, для загрузки различных загрузчиков вредоносного ПО и бэкдоров. Исследователи поясняют, что злоумышленники используют множество специальных инструментов, которые, по их мнению, предназначены для временного использования, чтобы избежать обнаружения и предотвратить связи между различными атаками.

Цепочка заражения бэкдором CurKeep

Атака начинается с целевого фишингового электронного письма, тщательно составленного для конкретных лиц в критически важных организациях и уговаривающего их открыть прикрепленный ZIP-файл. В архиве содержится исполняемый файл с цифровой подписью, соответствующей контексту электронного письма, а также вредоносная DLL, использующая уязвимость (CVE-2022-23748) в программном обеспечении Dante Discovery от Audinate. Эта DLL облегчает загрузку вредоносного ПО CurKeep в систему.

CurKeep — это бэкдор с небольшим размером файла всего в 10 килобайт, который обеспечивает постоянство на взломанном устройстве, передает системную информацию на сервер управления и контроля (C2) и остается готовым к командам. Этот бэкдор способен извлекать список каталогов из Program Files жертвы, обнаруживать установленное на компьютере программное обеспечение, выполнять команды и передавать результаты на сервер C2, а также выполнять файловые задачи в соответствии с инструкциями операторов.

CurKeep используется вместе с другими вредоносными инструментами

Помимо CurKeep, в кампании используются и другие инструменты, в первую очередь загрузчики, которые в основном активируются с помощью аналогичных методов загрузки неопубликованных DLL. Среди них следует выделить загрузчики CurLu, CurCore и CurLog, каждый из которых имеет разные функции и методы заражения.

Check Point отмечает, что «Stayin' Alive» развертывает различные образцы и версии этих загрузчиков и полезных нагрузок, часто адаптированных к конкретным региональным целям, включая язык, имена файлов и темы.

Охранная компания предполагает, что недавно обнаруженный кластер, вероятно, является частью более обширной кампании, включающей дополнительные нераскрытые инструменты и стратегии атаки. Учитывая широкий спектр различных инструментов, используемых в атаках, и их высокий уровень настройки, похоже, что они предназначены для использования в течение ограниченного периода времени.