CurKeep Backdoor

Η προσαρμοσμένη απειλή κακόβουλου λογισμικού γνωστή ως CurKeep Backdoor έχει αναγνωριστεί ως βασικό στοιχείο σε μια εκστρατεία κυβερνοεπιθέσεων που αποκαλύφθηκε πρόσφατα με την ονομασία «Stayin' Alive». Αυτή η συνεχιζόμενη εκστρατεία, η οποία ξεκίνησε το 2021, έχει επικεντρωθεί ειδικά σε κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιακών υπηρεσιών σε διάφορες ασιατικές χώρες. Οι εισβολείς πίσω από αυτήν την καμπάνια χρησιμοποιούν μια ποικιλία από κακόβουλο λογισμικό μιας χρήσης για να αποφύγουν τον εντοπισμό.

Ερευνητές ασφαλείας παρατήρησαν ότι ένα σημαντικό μέρος των στόχων της εκστρατείας βρίσκεται σε χώρες όπως το Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ. Η εκστρατεία «Stayin' Alive» είναι ακόμα ενεργή και εξακολουθεί να αποτελεί απειλή.

Οι κυβερνοεπιθέσεις που σχετίζονται με αυτήν την εκστρατεία αποδίδονται στην κινεζική ομάδα κατασκοπείας που αναφέρεται ως «ToddyCat». Αυτή η ομάδα χρησιμοποιεί μηνύματα spear-phishing που φέρουν απειλητικά συνημμένα, τα οποία χρησιμοποιούνται για την παράδοση μιας ποικιλίας φορτωτών κακόβουλου λογισμικού και backdoors.

Το CurKeep Backdoor αναπτύσσεται μέσω Spear-Phishing Tactics

Οι ερευνητές εντόπισαν μια ευρεία γκάμα προσαρμοσμένων εργαλείων που χρησιμοποιούνται από παράγοντες απειλών, τα οποία πιστεύουν ότι είναι σχεδιασμένα για να είναι μίας χρήσης προκειμένου να εμποδίζουν τον εντοπισμό και να αποτρέπουν τη σύνδεση διαφόρων επιθέσεων.

Η επίθεση ξεκινά με ένα email ηλεκτρονικού ψαρέματος με δόρυ, προσεκτικά προσαρμοσμένο ώστε να στοχεύει συγκεκριμένα άτομα εντός κρίσιμων οργανισμών, που τους προτρέπει να ανοίξουν ένα συνημμένο αρχείο ZIP. Μέσα στο αρχείο, υπάρχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο, το οποίο έχει ονομαστεί προσεκτικά ώστε να ευθυγραμμίζεται με το περιβάλλον του email. Περιέχει επίσης ένα κατεστραμμένο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate, διευκολύνοντας έτσι την πλευρική φόρτωση του κακόβουλου λογισμικού CurKeep στο παραβιασμένο σύστημα.

Το CurKeep, μια ελαφριά κερκόπορτα 10 kb, είναι υπεύθυνη για τη σταθερότητα στη συσκευή που έχει παραβιαστεί. Στέλνει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και στη συνέχεια αναμένει περαιτέρω οδηγίες. Αυτή η κερκόπορτα διαθέτει τη δυνατότητα εξαγωγής μιας λίστας καταλόγου από τα Αρχεία Προγράμματος του θύματος, παρέχοντας πληροφορίες για το λογισμικό που είναι εγκατεστημένο στον υπολογιστή. Μπορεί να εκτελεί εντολές και να αναμεταδίδει την έξοδο στον διακομιστή C2, καθώς και να εκτελεί εργασίες που βασίζονται σε αρχεία σύμφωνα με τις οδηγίες των χειριστών του.

Εκτός από το CurKeep, η καμπάνια χρησιμοποιεί άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται μέσω παρόμοιων μεθόδων πλευρικής φόρτωσης DLL. Αξιοσημείωτα μεταξύ αυτών είναι το CurLu loader, CurCore και CurLog loader, το καθένα εξοπλισμένο με μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.

Η επιχείρηση «Stayin' Alive» για το έγκλημα στον κυβερνοχώρο είναι προσαρμοσμένη σύμφωνα με τους συγκεκριμένους στόχους

Το 'Stayin' Alive' χρησιμοποιεί μια σειρά από διακριτά δείγματα και εκδόσεις αυτών των φορτωτών και ωφέλιμων φορτίων, που προσαρμόζονται συχνά για να ταιριάζουν σε συγκεκριμένους τοπικούς στόχους, όπως γλώσσα, ονόματα αρχείων και θεματικά στοιχεία. Οι ειδικοί στον κυβερνοχώρο πιστεύουν ότι το σύμπλεγμα που αποκαλύφθηκε πρόσφατα είναι πιθανώς μόνο ένα μέρος μιας μεγαλύτερης καμπάνιας που περιλαμβάνει πρόσθετα άγνωστα εργαλεία και τεχνικές επίθεσης.

Με βάση την εκτεταμένη ποικιλία μοναδικών εργαλείων που χρησιμοποιούνται σε αυτές τις επιθέσεις και τον υψηλό βαθμό προσαρμογής τους, είναι προφανές ότι έχουν σχεδιαστεί για να απορρίπτονται εύκολα. Παρά τις διαφορές στον κώδικα αυτών των εργαλείων, όλα δημιουργούν συνδέσεις με την ίδια υποδομή, η οποία στο παρελθόν είχε συνδεθεί με την ToddyCat, μια κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο.