CurKeep Backdoor

Pielāgotais ļaunprogrammatūras drauds, kas pazīstams kā CurKeep Backdoor, ir identificēts kā galvenā sastāvdaļa nesen atklātajā kiberuzbrukumu kampaņā ar nosaukumu “Stayin” Alive. Šī pašreizējā kampaņa, kas sākās 2021. gadā, ir īpaši vērsta uz valdības organizācijām un telekomunikāciju pakalpojumu sniedzējiem dažādās Āzijas valstīs. Šīs kampaņas uzbrucēji izmanto dažādu “vienreizējās lietošanas” ļaunprātīgas programmatūras klāstu, lai izvairītos no atklāšanas.

Drošības pētnieki novērojuši, ka ievērojama daļa kampaņas mērķu atrodas tādās valstīs kā Kazahstāna, Uzbekistāna, Pakistāna un Vjetnama. Kampaņa "Stayin' Alive" joprojām ir aktīva un joprojām rada draudus.

Ar šo kampaņu saistītie kiberuzbrukumi tiek attiecināti uz Ķīnas spiegošanas grupu, ko dēvē par “ToddyCat”. Šajā grupā tiek izmantoti pikšķerēšanas ziņojumi, kas satur draudīgus pielikumus, kas tiek izmantoti dažādu ļaunprātīgas programmatūras ielādētāju un aizmugures durvju piegādei.

CurKeep Backdoor tiek ieviests, izmantojot pikšķerēšanas taktiku

Pētnieki ir identificējuši plašu pielāgotu rīku klāstu, ko izmanto apdraudējuma dalībnieki un kuri, pēc viņu domām, ir paredzēti vienreizējai lietošanai, lai kavētu dažādu uzbrukumu atklāšanu un novērstu to saikni.

Uzbrukums sākas ar pikšķerēšanas e-pasta ziņojumu, kas ir rūpīgi pielāgots, lai mērķētu uz konkrētām personām kritiskās organizācijās, mudinot tās atvērt pievienoto ZIP failu. Arhīvā ir digitāli parakstīts izpildāmais fails, kas ir rūpīgi nosaukts, lai tas atbilstu e-pasta kontekstam. Tajā ir arī bojāts DLL, kas izmanto Audinate Dante Discovery programmatūras ievainojamību (CVE-2022-23748), tādējādi veicinot CurKeep ļaunprātīgas programmatūras sānu ielādi uzlauztajā sistēmā.

CurKeep, viegla 10 kb aizmugures durvis, ir atbildīga par bojātās ierīces noturības noteikšanu. Tā nosūta sistēmas informāciju uz komandu un kontroles (C2) serveri un pēc tam gaida turpmākos norādījumus. Šīm aizmugures durvīm ir iespēja izfiltrēt direktoriju sarakstu no upura programmas failiem, sniedzot ieskatu datorā instalētajā programmatūrā. Tas var izpildīt komandas un pārsūtīt izvadi uz C2 serveri, kā arī veikt uz failiem balstītus uzdevumus saskaņā ar tā operatoru direktīvām.

Papildus CurKeep kampaņā tiek izmantoti citi rīki, galvenokārt iekrāvēji, kas tiek izpildīti, izmantojot līdzīgas DLL sānu ielādes metodes. Ievērības cienīgi starp tiem ir CurLu ielādētājs, CurCore un CurLog iekrāvējs, katrs aprīkots ar unikālām funkcijām un infekcijas mehānismiem.

Kibernoziedzības operācija “palikt dzīva” ir pielāgota konkrētiem mērķiem

"Stayin' Alive" izmanto dažādus šo iekrāvēju un lietderīgo kravu paraugus un versijas, kas bieži tiek pielāgoti konkrētiem reģionāliem mērķiem, tostarp valodai, failu nosaukumiem un tematiskajiem elementiem. Kiberdrošības eksperti uzskata, ka nesen atklātais klasteris, iespējams, ir tikai daļa no lielākas kampaņas, kas ietver papildu neatklātus rīkus un uzbrukuma paņēmienus.

Pamatojoties uz plašo šajos uzbrukumos izmantoto unikālo rīku klāstu un to augsto pielāgošanas pakāpi, ir skaidrs, ka tie ir izstrādāti tā, lai tos varētu viegli izmest. Neskatoties uz atšķirībām šo rīku kodos, tie visi veido savienojumus ar vienu un to pašu infrastruktūru, kas iepriekš bijusi saistīta ar Ķīnas kiberspiegošanas grupu ToddyCat.