Pintu Belakang CurKeep

Ancaman perisian hasad tersuai yang dikenali sebagai CurKeep Backdoor telah dikenal pasti sebagai komponen utama dalam kempen serangan siber yang baru ditemui dipanggil 'Stayin' Alive.' Kempen berterusan ini, yang bermula pada 2021, telah tertumpu secara khusus kepada organisasi kerajaan dan penyedia perkhidmatan telekomunikasi di pelbagai negara Asia. Penyerang di sebalik kempen ini menggunakan pelbagai jenis perisian hasad 'boleh guna' untuk mengelakkan pengesanan.

Penyelidik keselamatan telah memerhatikan bahawa sebahagian besar sasaran kempen terletak di negara seperti Kazakhstan, Uzbekistan, Pakistan dan Vietnam. Kempen 'Stayin' Alive' masih aktif dan terus menimbulkan ancaman.

Serangan siber yang dikaitkan dengan kempen ini dikaitkan dengan kumpulan pengintipan Cina yang dirujuk sebagai 'ToddyCat.' Kumpulan ini menggunakan mesej pancingan lembing yang membawa lampiran mengancam, yang digunakan untuk menghantar pelbagai pemuat perisian hasad dan pintu belakang.

Pintu Belakang CurKeep Digunakan melalui Taktik Spear-Phishing

Para penyelidik telah mengenal pasti pelbagai jenis alatan tersuai yang digunakan oleh pelaku ancaman, yang mereka percaya direka untuk boleh guna untuk menghalang pengesanan dan menghalang kaitan pelbagai serangan.

Serangan itu bermula dengan e-mel spear-phishing, disesuaikan dengan teliti untuk menyasarkan individu tertentu dalam organisasi kritikal, menggesa mereka untuk membuka fail ZIP yang dilampirkan. Dalam arkib, terdapat boleh laku yang ditandatangani secara digital, dinamakan dengan teliti untuk diselaraskan dengan konteks e-mel. Ia juga mengandungi DLL yang rosak yang mengeksploitasi kelemahan (CVE-2022-23748) dalam perisian Dante Discovery Audinate, dengan itu memudahkan pemuatan sisi perisian hasad CurKeep ke sistem yang terjejas.

CurKeep, pintu belakang 10kb yang ringan, bertanggungjawab untuk mewujudkan kegigihan pada peranti yang dilanggar. Ia menghantar maklumat sistem ke pelayan arahan dan kawalan (C2) dan kemudian menunggu arahan selanjutnya. Pintu belakang ini mempunyai keupayaan untuk mengeluarkan senarai direktori daripada Fail Program mangsa, memberikan pandangan tentang perisian yang dipasang pada komputer. Ia boleh melaksanakan arahan dan menyampaikan output kepada pelayan C2, serta melaksanakan tugas berasaskan fail mengikut arahan pengendalinya.

Selain CurKeep, kempen ini menggunakan alatan lain, terutamanya pemuat, yang dilaksanakan melalui kaedah pemuatan sisi DLL yang serupa. Yang patut diberi perhatian antaranya ialah pemuat CurLu, CurCore, dan pemuat CurLog, masing-masing dilengkapi dengan fungsi unik dan mekanisme jangkitan.

Operasi Jenayah Siber 'Stayin' Alive' Disesuaikan Mengikut Sasaran Khusus

'Stayin' Alive' menggunakan pelbagai sampel dan versi yang berbeza bagi pemuat dan muatan ini, yang kerap disesuaikan untuk memenuhi sasaran wilayah tertentu, termasuk bahasa, nama fail dan elemen tematik. Pakar keselamatan siber percaya bahawa kluster yang ditemui baru-baru ini mungkin hanya sebahagian daripada kempen yang lebih besar yang merangkumi alat tambahan dan teknik serangan yang tidak didedahkan.

Berdasarkan pelbagai jenis alat unik yang digunakan dalam serangan ini dan tahap penyesuaiannya yang tinggi, terbukti bahawa alat tersebut direka bentuk untuk mudah dibuang. Walaupun terdapat perbezaan dalam kod alat ini, semuanya mewujudkan hubungan dengan infrastruktur yang sama, yang sebelum ini dikaitkan dengan ToddyCat, kumpulan pengintipan siber China.