कर्कीप बैकडोर
करकीप बैकडोर के नाम से ज्ञात कस्टम मैलवेयर खतरे को हाल ही में सामने आए 'स्टेइन' अलाइव' नामक साइबर हमले अभियान में एक प्रमुख घटक के रूप में पहचाना गया है। 2021 में शुरू हुआ यह चल रहा अभियान विशेष रूप से विभिन्न एशियाई देशों में सरकारी संगठनों और दूरसंचार सेवा प्रदाताओं पर केंद्रित है। इस अभियान के पीछे हमलावर पहचान से बचने के लिए विभिन्न प्रकार के 'डिस्पोजेबल' मैलवेयर का उपयोग करते हैं।
सुरक्षा शोधकर्ताओं ने देखा है कि अभियान के लक्ष्यों का एक महत्वपूर्ण हिस्सा कजाकिस्तान, उज्बेकिस्तान, पाकिस्तान और वियतनाम जैसे देशों में स्थित है। 'स्टेइन' अलाइव' अभियान अभी भी सक्रिय है और खतरा बना हुआ है।
इस अभियान से जुड़े साइबर हमलों का श्रेय चीनी जासूसी समूह को दिया जाता है जिसे 'टोडीकैट' कहा जाता है। यह समूह स्पीयर-फ़िशिंग संदेशों का उपयोग करता है जिनमें धमकी भरे अनुलग्नक होते हैं, जिनका उपयोग विभिन्न प्रकार के मैलवेयर लोडर और बैकडोर वितरित करने के लिए किया जाता है।
कर्कीप बैकडोर को स्पीयर-फ़िशिंग रणनीति के माध्यम से तैनात किया गया है
शोधकर्ताओं ने धमकी देने वालों द्वारा नियोजित कस्टम टूल की एक विस्तृत श्रृंखला की पहचान की है, जो उनका मानना है कि विभिन्न हमलों का पता लगाने और लिंकेज को रोकने के लिए डिस्पोजेबल होने के लिए डिज़ाइन किया गया है।
हमला एक स्पीयर-फ़िशिंग ईमेल से शुरू होता है, जिसे महत्वपूर्ण संगठनों के भीतर विशिष्ट व्यक्तियों को लक्षित करने के लिए सावधानीपूर्वक तैयार किया गया है, और उनसे एक संलग्न ज़िप फ़ाइल खोलने का आग्रह किया जाता है। संग्रह के भीतर, एक डिजिटल रूप से हस्ताक्षरित निष्पादन योग्य मौजूद है, जिसे ईमेल के संदर्भ के साथ संरेखित करने के लिए सावधानीपूर्वक नामित किया गया है। इसमें एक दूषित DLL भी शामिल है जो ऑडिनेट के डांटे डिस्कवरी सॉफ़्टवेयर में भेद्यता (CVE-2022-23748) का फायदा उठाता है, जिससे समझौता किए गए सिस्टम पर curKeep मैलवेयर की साइड-लोडिंग की सुविधा मिलती है।
कर्कीप, एक हल्का 10kb बैकडोर, टूटे हुए डिवाइस पर दृढ़ता स्थापित करने के लिए जिम्मेदार है। यह सिस्टम की जानकारी कमांड-एंड-कंट्रोल (C2) सर्वर को भेजता है और फिर आगे के निर्देशों का इंतजार करता है। यह पिछला दरवाज़ा पीड़ित की प्रोग्राम फ़ाइलों से एक निर्देशिका सूची को बाहर निकालने की क्षमता रखता है, जो कंप्यूटर पर स्थापित सॉफ़्टवेयर में अंतर्दृष्टि प्रदान करता है। यह कमांड निष्पादित कर सकता है और आउटपुट को C2 सर्वर पर रिले कर सकता है, साथ ही अपने ऑपरेटरों के निर्देशों के अनुसार फ़ाइल-आधारित कार्य भी कर सकता है।
कर्कीप के अलावा, अभियान अन्य टूल, मुख्य रूप से लोडर, को समान डीएलएल साइड-लोडिंग विधियों के माध्यम से निष्पादित करता है। उनमें से उल्लेखनीय हैं कर्लू लोडर, करकोर और कर्ललॉग लोडर, प्रत्येक अद्वितीय कार्यक्षमता और संक्रमण तंत्र से सुसज्जित हैं।
'स्टेइन' अलाइव' साइबर क्राइम ऑपरेशन को विशिष्ट लक्ष्यों के अनुसार तैयार किया गया है
'स्टेइन' अलाइव' इन लोडर और पेलोड के विभिन्न नमूनों और संस्करणों को नियोजित करता है, जिन्हें अक्सर भाषा, फ़ाइल नाम और विषयगत तत्वों सहित विशिष्ट क्षेत्रीय लक्ष्यों के अनुरूप अनुकूलित किया जाता है। साइबर सुरक्षा विशेषज्ञों का मानना है कि हाल ही में उजागर हुआ क्लस्टर शायद एक बड़े अभियान का एक हिस्सा है जिसमें अतिरिक्त अज्ञात उपकरण और हमले की तकनीकें शामिल हैं।
इन हमलों में उपयोग किए गए अद्वितीय उपकरणों की विस्तृत श्रृंखला और उनके उच्च स्तर के अनुकूलन के आधार पर, यह स्पष्ट है कि उन्हें आसानी से त्यागने के लिए डिज़ाइन किया गया है। इन उपकरणों के कोड में अंतर के बावजूद, वे सभी एक ही बुनियादी ढांचे के साथ कनेक्शन स्थापित करते हैं, जो पहले एक चीनी साइबर जासूसी समूह टोडीकैट के साथ जुड़ा हुआ है।