CurKeep 後門針對亞洲的通訊和官方實體
自 2021 年以來,最近曝光的一項名為「Stayin Alive」的行動一直積極針對亞洲的政府機構和電信服務提供者。該活動使用多種惡意軟體來避免被發現。
據網路安全公司 Check Point 稱,該活動的大部分目標集中在哈薩克、烏茲別克、巴基斯坦和越南等國家。該活動仍在繼續。
這些攻擊似乎源自中國間諜組織“ToddyCat”,該組織依靠攜帶有害附件的魚叉式網路釣魚訊息來載入各種惡意軟體載入程式和後門。研究人員澄清,威脅行為者使用了多種自訂工具,他們認為這些工具是為臨時使用而設計的,旨在逃避偵測並防止不同攻擊之間的聯繫。
CurKeep後門感染鏈
攻擊從精心設計的魚叉式網路釣魚電子郵件開始,針對關鍵組織內的特定個人,誘騙他們打開附加的 ZIP 檔案。檔案中包含一個可執行文件,該文件帶有旨在匹配電子郵件上下文的數位簽名,以及利用 Audinate 的 Dante Discovery 軟體中的漏洞 (CVE-2022-23748) 的惡意 DLL。該 DLL 有助於將「CurKeep」惡意軟體載入到系統上。
CurKeep 是一個檔案大小僅為 10 KB 的後門,可在受感染的裝置上建立持久性,將系統資訊傳輸到命令和控制 (C2) 伺服器,並保持為命令做好準備。該後門能夠從受害者的程式檔案中竊取目錄列表,顯示電腦上安裝的軟體,執行命令並將結果傳輸到 C2 伺服器,並根據操作員的指令處理基於檔案的任務。
CurKeep 與其他惡意工具一起使用
除了 CurKeep 之外,該活動還使用了其他工具,主要是加載程序,這些工具主要透過類似 DLL 側加載方法來啟動。其中值得注意的是 CurLu 載入器、CurCore 和 CurLog 載入器,每個載入器都有不同的功能和感染方法。
Check Point 指出,「Stayin' Alive」部署了這些載入程式和有效負載的各種範例和版本,通常針對特定區域目標進行定制,包括語言、檔案名稱和主題。
該安全公司表示,新發現的集群可能是更廣泛的活動的一部分,涉及其他未公開的工具和攻擊策略。鑑於攻擊中使用的各種不同工具及其高度客製化,看來它們的使用時間有限。