CurKeep 后门针对亚洲的通信和官方实体

自 2021 年以来，最近曝光的一项名为“Stayin Alive”的行动一直积极针对亚洲的政府机构和电信服务提供商。该活动使用多种恶意软件来避免被发现。

据网络安全公司 Check Point 称，该活动的大部分目标集中在哈萨克斯坦、乌兹别克斯坦、巴基斯坦和越南等国家。该活动仍在继续。

这些攻击似乎源自中国间谍组织“ToddyCat”，该组织依靠携带有害附件的鱼叉式网络钓鱼消息来加载各种恶意软件加载程序和后门。研究人员澄清，威胁行为者使用了多种自定义工具，他们认为这些工具是为临时使用而设计的，旨在逃避检测并防止不同攻击之间的联系。

CurKeep后门感染链

攻击从精心设计的鱼叉式网络钓鱼电子邮件开始，针对关键组织内的特定个人，诱骗他们打开附加的 ZIP 文件。存档中包含一个可执行文件，该文件带有旨在匹配电子邮件上下文的数字签名，以及利用 Audinate 的 Dante Discovery 软件中的漏洞 (CVE-2022-23748) 的恶意 DLL。该 DLL 有助于将“CurKeep”恶意软件加载到系统上。

CurKeep 是一个文件大小仅为 10 KB 的后门，可在受感染的设备上建立持久性，将系统信息传输到命令和控制 (C2) 服务器，并保持为命令做好准备。该后门能够从受害者的程序文件中窃取目录列表，显示计算机上安装的软件，执行命令并将结果传输到 C2 服务器，并根据操作员的指令处理基于文件的任务。

CurKeep 与其他恶意工具一起使用

除了 CurKeep 之外，该活动还使用了其他工具，主要是加载程序，这些工具主要通过类似 DLL 侧加载方法来激活。其中值得注意的是 CurLu 加载器、CurCore 和 CurLog 加载器，每个加载器都有不同的功能和感染方法。

Check Point 指出，“Stayin' Alive”部署了这些加载程序和有效负载的各种示例和版本，通常针对特定区域目标进行定制，包括语言、文件名和主题。

该安全公司表示，新发现的集群可能是更广泛活动的一部分，涉及其他未公开的工具和攻击策略。鉴于攻击中使用的各种不同工具及其高度定制化，看来它们的使用时间有限。