CurKeep Backdoor riktar sig till kommunikation och officiella enheter i Asien

En nyligen upptäckt operation känd som "Stayin Alive" har aktivt riktat in sig på statliga organ och leverantörer av telekommunikationstjänster i Asien sedan 2021. Denna kampanj använder en mängd olika skadliga program för att undvika upptäckt.

Majoriteten av kampanjens mål, enligt cybersäkerhetsföretaget Check Point, är koncentrerade till länder som Kazakstan, Uzbekistan, Pakistan och Vietnam. Kampanjen pågår fortfarande.

Attackerna verkar härröra från den kinesiska spionagegruppen "ToddyCat", som förlitar sig på spjutfiskemeddelanden med skadliga bilagor för att ladda olika skadlig programvara och bakdörrar. Forskare klargör att hotaktörerna använder flera anpassade verktyg som de tror är designade för tillfällig användning, utformade för att undvika upptäckt och förhindra kopplingar mellan olika attacker.

CurKeep Backdoor Infection Chain

Attacken börjar med ett spjutfiske-e-postmeddelande som noggrant utformats för att rikta in sig på specifika individer inom kritiska organisationer och locka dem att öppna en bifogad ZIP-fil. I arkivet finns en körbar fil med en digital signatur avsedd att matcha e-postmeddelandets sammanhang, tillsammans med en skadlig DLL som utnyttjar en sårbarhet (CVE-2022-23748) i Audinates Dante Discovery-programvara. Denna DLL underlättar laddningen av "CurKeep" skadlig programvara till systemet.

CurKeep är en bakdörr med en liten filstorlek på bara 10 kilobyte som etablerar persistens på den komprometterade enheten, överför systeminformation till kommando-och-kontroll-servern (C2) och förblir redo för kommandon. Denna bakdörr kan exfiltrera en lista med kataloger från offrets programfiler, avslöja den installerade programvaran på datorn, utföra kommandon och överföra resultaten till C2-servern och hantera filbaserade uppgifter i enlighet med operatörernas instruktioner.

CurKeep används tillsammans med ytterligare skadliga verktyg

Utöver CurKeep använder sig kampanjen av andra verktyg, främst loaders, som huvudsakligen aktiveras genom liknande DLL-sidoladdningsmetoder. Noterbara bland dem är CurLu-lastaren, CurCore och CurLog-lastaren, som var och en har distinkta funktioner och infektionsmetoder.

Check Point noterar att "Stayin' Alive" distribuerar olika prover och versioner av dessa laddare och nyttolaster, ofta skräddarsydda för specifika regionala mål, inklusive språk, filnamn och teman.

Säkerhetsföretaget föreslår att det nyupptäckta klustret sannolikt är en del av en mer omfattande kampanj som involverar ytterligare hemliga verktyg och attackstrategier. Med tanke på det breda utbudet av distinkta verktyg som används i attackerna och deras höga anpassningsnivå, verkar det som om de är avsedda att användas under en begränsad varaktighet.