CurKeep Backdoor

تهدید بدافزار سفارشی معروف به CurKeep Backdoor به عنوان یک جزء کلیدی در کمپین حمله سایبری اخیراً کشف شده به نام "Stayin' Alive" شناسایی شده است. این کمپین در حال انجام که از سال 2021 آغاز شد، به طور خاص بر سازمان های دولتی و ارائه دهندگان خدمات مخابراتی در کشورهای مختلف آسیایی متمرکز شده است. مهاجمان پشت این کمپین از طیف متنوعی از بدافزار «یکبار مصرف» برای جلوگیری از شناسایی استفاده می‌کنند.

محققان امنیتی مشاهده کرده اند که بخش قابل توجهی از اهداف کمپین در کشورهایی مانند قزاقستان، ازبکستان، پاکستان و ویتنام قرار دارند. کمپین "زنده ماندن" هنوز فعال است و همچنان به عنوان یک تهدید ادامه دارد.

حملات سایبری مرتبط با این کمپین به گروه جاسوسی چینی موسوم به "ToddyCat" نسبت داده می شود. این گروه از پیام‌های فیشینگ نیزه‌ای استفاده می‌کند که پیوست‌های تهدیدآمیز را حمل می‌کنند، که برای ارائه انواع بارکننده‌های بدافزار و درهای پشتی استفاده می‌شوند.

درپشتی CurKeep از طریق تاکتیک های Spear-Phishing مستقر می شود

محققان طیف وسیعی از ابزارهای سفارشی را شناسایی کرده‌اند که توسط عوامل تهدید به کار می‌روند، که به اعتقاد آنها برای جلوگیری از شناسایی و جلوگیری از ارتباط حملات مختلف، یکبار مصرف طراحی شده‌اند.

این حمله با یک ایمیل فیشینگ نیزه ای آغاز می شود که به دقت برای هدف قرار دادن افراد خاص در سازمان های مهم طراحی شده است و از آنها می خواهد که یک فایل ZIP پیوست شده را باز کنند. در بایگانی، یک فایل اجرایی امضا شده دیجیتالی وجود دارد که به دقت نامگذاری شده است تا با زمینه ایمیل هماهنگ شود. همچنین حاوی یک DLL خراب است که از یک آسیب‌پذیری (CVE-2022-23748) در نرم‌افزار Dante Discovery Audinate سوء استفاده می‌کند و در نتیجه بارگذاری جانبی بدافزار CurKeep بر روی سیستم در معرض خطر را تسهیل می‌کند.

CurKeep، یک درب پشتی سبک وزن 10 کیلوبایتی، مسئول ایجاد پایداری در دستگاه شکسته شده است. اطلاعات سیستم را به سرور فرمان و کنترل (C2) ارسال می کند و سپس منتظر دستورالعمل های بیشتر است. این درپشتی دارای توانایی استخراج فهرست فهرست از فایل‌های برنامه قربانی است و اطلاعاتی در مورد نرم‌افزار نصب شده بر روی رایانه ارائه می‌کند. این می تواند دستورات را اجرا کند و خروجی را به سرور C2 ارسال کند و همچنین وظایف مبتنی بر فایل را طبق دستورالعمل های اپراتورهای خود انجام دهد.

علاوه بر CurKeep، این کمپین از ابزارهای دیگری استفاده می کند، در درجه اول لودرها، که از طریق روش های بارگذاری جانبی DLL مشابه اجرا می شوند. از جمله آنها می توان به لودر CurLu، CurCore و CurLog اشاره کرد که هر کدام دارای عملکردهای منحصر به فرد و مکانیسم های عفونت هستند.

عملیات جرایم سایبری "زنده ماندن" مطابق با اهداف خاص طراحی شده است

'Stayin' Alive' طیف وسیعی از نمونه ها و نسخه های متمایز از این لودرها و محموله ها را به کار می گیرد که اغلب برای اهداف منطقه ای خاص، از جمله زبان، نام فایل ها و عناصر موضوعی، سفارشی می شوند. کارشناسان امنیت سایبری بر این باورند که خوشه اخیراً کشف شده احتمالاً تنها بخشی از یک کمپین بزرگتر است که ابزارهای ناشناس اضافی و تکنیک های حمله را در بر می گیرد.

بر اساس مجموعه گسترده ای از ابزارهای منحصر به فرد مورد استفاده در این حملات و درجه بالای سفارشی سازی آنها، واضح است که آنها به گونه ای طراحی شده اند که به راحتی دور ریخته شوند. با وجود تفاوت در کد این ابزارها، همه آنها با زیرساخت مشابهی ارتباط برقرار می کنند که قبلاً با ToddyCat، یک گروه جاسوسی سایبری چینی مرتبط بوده است.