కర్కీప్ బ్యాక్డోర్
CurKeep బ్యాక్డోర్గా పిలువబడే కస్టమ్ మాల్వేర్ ముప్పు 'Stayin' Alive' అనే ఇటీవల వెలికితీసిన సైబర్టాక్ ప్రచారంలో కీలకమైన అంశంగా గుర్తించబడింది. 2021లో ప్రారంభమైన ఈ కొనసాగుతున్న ప్రచారం వివిధ ఆసియా దేశాలలోని ప్రభుత్వ సంస్థలు మరియు టెలికమ్యూనికేషన్ సర్వీస్ ప్రొవైడర్లపై ప్రత్యేకంగా దృష్టి సారించింది. ఈ ప్రచారం వెనుక దాడి చేసేవారు గుర్తించబడకుండా ఉండటానికి విభిన్న శ్రేణి 'డిస్పోజబుల్' మాల్వేర్ను ఉపయోగిస్తున్నారు.
కజకిస్తాన్, ఉజ్బెకిస్తాన్, పాకిస్థాన్ మరియు వియత్నాం వంటి దేశాల్లో ప్రచారం యొక్క లక్ష్యాలలో గణనీయమైన భాగం ఉన్నట్లు భద్రతా పరిశోధకులు గమనించారు. 'స్టేయిన్' అలైవ్' ప్రచారం ఇప్పటికీ చురుకుగా ఉంది మరియు ముప్పును కలిగిస్తుంది.
ఈ ప్రచారానికి సంబంధించిన సైబర్టాక్లు 'టాడీక్యాట్'గా సూచించబడే చైనీస్ గూఢచర్య బృందానికి ఆపాదించబడ్డాయి. ఈ సమూహం బెదిరింపు జోడింపులను కలిగి ఉన్న స్పియర్-ఫిషింగ్ సందేశాలను ఉపయోగిస్తుంది, ఇవి వివిధ రకాల మాల్వేర్ లోడర్లు మరియు బ్యాక్డోర్లను అందించడానికి ఉపయోగించబడతాయి.
కర్కీప్ బ్యాక్డోర్ స్పియర్-ఫిషింగ్ వ్యూహాల ద్వారా అమలు చేయబడుతుంది
పరిశోధకులు బెదిరింపు నటులు ఉపయోగించే అనేక రకాల కస్టమ్ టూల్స్ను గుర్తించారు, అవి గుర్తించడాన్ని నిరోధించడానికి మరియు వివిధ దాడుల సంబంధాన్ని నిరోధించడానికి పునర్వినియోగపరచదగినవిగా రూపొందించబడ్డాయి.
దాడి స్పియర్-ఫిషింగ్ ఇమెయిల్తో ప్రారంభమవుతుంది, క్లిష్టమైన సంస్థలలోని నిర్దిష్ట వ్యక్తులను లక్ష్యంగా చేసుకునేలా జాగ్రత్తగా రూపొందించబడింది, జోడించిన జిప్ ఫైల్ను తెరవమని వారిని ప్రోత్సహిస్తుంది. ఆర్కైవ్లో, డిజిటల్గా సంతకం చేయబడిన ఎక్జిక్యూటబుల్ ఉంది, ఇమెయిల్ సందర్భానికి అనుగుణంగా జాగ్రత్తగా పేరు పెట్టబడింది. ఇది ఆడినేట్ యొక్క డాంటే డిస్కవరీ సాఫ్ట్వేర్లో దుర్బలత్వాన్ని (CVE-2022-23748) ఉపయోగించుకునే పాడైన DLLని కూడా కలిగి ఉంది, తద్వారా రాజీపడిన సిస్టమ్లోకి CurKeep మాల్వేర్ యొక్క సైడ్-లోడింగ్ను సులభతరం చేస్తుంది.
CurKeep, ఒక తేలికైన 10kb బ్యాక్డోర్, ఉల్లంఘించిన పరికరంపై పట్టుదలను ఏర్పాటు చేయడానికి బాధ్యత వహిస్తుంది. ఇది సిస్టమ్ సమాచారాన్ని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్కు పంపుతుంది మరియు తదుపరి సూచనల కోసం వేచి ఉంది. ఈ బ్యాక్డోర్ బాధితుని ప్రోగ్రామ్ ఫైల్ల నుండి డైరెక్టరీ జాబితాను వెలికితీసే సామర్థ్యాన్ని కలిగి ఉంటుంది, కంప్యూటర్లో ఇన్స్టాల్ చేయబడిన సాఫ్ట్వేర్పై అంతర్దృష్టులను అందిస్తుంది. ఇది ఆదేశాలను అమలు చేయగలదు మరియు అవుట్పుట్ను C2 సర్వర్కు ప్రసారం చేయగలదు, అలాగే దాని ఆపరేటర్ల ఆదేశాల ప్రకారం ఫైల్ ఆధారిత పనులను కూడా చేయవచ్చు.
CurKeepతో పాటు, ప్రచారం ఇతర సాధనాలను ఉపయోగిస్తుంది, ప్రధానంగా లోడర్లు, ఇలాంటి DLL సైడ్-లోడింగ్ పద్ధతుల ద్వారా అమలు చేయబడతాయి. వాటిలో గుర్తించదగినవి CurLu లోడర్, CurCore మరియు CurLog లోడర్, ప్రతి ఒక్కటి ప్రత్యేకమైన కార్యాచరణలు మరియు ఇన్ఫెక్షన్ మెకానిజమ్లను కలిగి ఉంటాయి.
'స్టేయిన్' అలైవ్' సైబర్ క్రైమ్ ఆపరేషన్ నిర్దిష్ట లక్ష్యాల ప్రకారం రూపొందించబడింది
'Stayin' Alive' ఈ లోడర్లు మరియు పేలోడ్ల యొక్క విభిన్న నమూనాలు మరియు సంస్కరణల శ్రేణిని ఉపయోగిస్తుంది, భాష, ఫైల్ పేర్లు మరియు నేపథ్య అంశాలతో సహా నిర్దిష్ట ప్రాంతీయ లక్ష్యాలకు అనుగుణంగా తరచుగా అనుకూలీకరించబడుతుంది. సైబర్ సెక్యూరిటీ నిపుణులు ఇటీవల వెలికితీసిన క్లస్టర్ బహుశా అదనపు బహిర్గతం చేయని సాధనాలు మరియు దాడి సాంకేతికతలను కలిగి ఉన్న ఒక పెద్ద ప్రచారంలో కేవలం ఒక భాగమేనని భావిస్తున్నారు.
ఈ దాడులలో ఉపయోగించిన ప్రత్యేక సాధనాల యొక్క విస్తృతమైన కలగలుపు మరియు వాటి అధిక స్థాయి అనుకూలీకరణ ఆధారంగా, అవి సులభంగా విస్మరించబడేలా రూపొందించబడినట్లు స్పష్టంగా తెలుస్తుంది. ఈ సాధనాల కోడ్లో తేడాలు ఉన్నప్పటికీ, అవన్నీ ఒకే మౌలిక సదుపాయాలతో కనెక్షన్లను ఏర్పరుస్తాయి, ఇది గతంలో చైనీస్ సైబర్ గూఢచర్య సమూహం అయిన ToddyCatతో అనుబంధించబడింది.