CurKeep ลับๆ

ภัยคุกคามมัลแวร์แบบกำหนดเองที่เรียกว่า CurKeep Backdoor ได้รับการระบุว่าเป็นองค์ประกอบสำคัญในแคมเปญการโจมตีทางไซเบอร์ที่เพิ่งถูกเปิดเผยชื่อ 'Stayin' Alive' แคมเปญที่กำลังดำเนินอยู่นี้ซึ่งเริ่มในปี 2564 มุ่งเน้นไปที่องค์กรภาครัฐและผู้ให้บริการโทรคมนาคมในประเทศต่างๆ ในเอเชียโดยเฉพาะ ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้ใช้มัลแวร์ 'แบบใช้แล้วทิ้ง' ที่หลากหลายเพื่อหลีกเลี่ยงการตรวจจับ

นักวิจัยด้านความปลอดภัยได้ตั้งข้อสังเกตว่าเป้าหมายของการรณรงค์ส่วนใหญ่อยู่ในประเทศต่างๆ เช่น คาซัคสถาน อุซเบกิสถาน ปากีสถาน และเวียดนาม แคมเปญ 'Stayin' Alive' ยังคงทำงานอยู่และเป็นภัยคุกคามต่อไป

การโจมตีทางไซเบอร์ที่เกี่ยวข้องกับแคมเปญนี้เป็นผลมาจากกลุ่มจารกรรมของจีนที่เรียกว่า 'ToddyCat' กลุ่มนี้ใช้ข้อความฟิชชิ่งแบบหอกซึ่งมีไฟล์แนบที่เป็นอันตราย ซึ่งใช้ในการส่งตัวโหลดมัลแวร์และแบ็คดอร์ที่หลากหลาย

CurKeep Backdoor ได้รับการปรับใช้ผ่านกลวิธีฟิชชิ่งแบบหอก

นักวิจัยได้ระบุเครื่องมือแบบกำหนดเองมากมายที่ใช้โดยผู้คุกคาม ซึ่งพวกเขาเชื่อว่าได้รับการออกแบบมาให้ใช้แล้วทิ้งเพื่อป้องกันการตรวจจับและป้องกันการเชื่อมโยงของการโจมตีต่างๆ

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งแบบหอก ซึ่งปรับแต่งอย่างระมัดระวังเพื่อกำหนดเป้าหมายเฉพาะบุคคลภายในองค์กรที่สำคัญ โดยกระตุ้นให้พวกเขาเปิดไฟล์ ZIP ที่แนบมา ภายในไฟล์เก็บถาวรจะมีไฟล์ปฏิบัติการที่ลงนามแบบดิจิทัล ซึ่งตั้งชื่ออย่างระมัดระวังเพื่อให้สอดคล้องกับบริบทของอีเมล นอกจากนี้ยังมี DLL ที่เสียหายซึ่งใช้ประโยชน์จากช่องโหว่ (CVE-2022-23748) ในซอฟต์แวร์ Dante Discovery ของ Audinate ดังนั้นจึงอำนวยความสะดวกในการโหลดมัลแวร์ CurKeep ด้านข้างไปยังระบบที่ถูกบุกรุก

CurKeep ซึ่งเป็นแบ็คดอร์น้ำหนักเบาขนาด 10kb มีหน้าที่รับผิดชอบในการสร้างความคงอยู่บนอุปกรณ์ที่ถูกละเมิด โดยจะส่งข้อมูลระบบไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) จากนั้นรอคำแนะนำเพิ่มเติม แบ็คดอร์นี้มีความสามารถในการขโมยรายชื่อไดเร็กทอรีออกจากไฟล์โปรแกรมของเหยื่อ โดยให้ข้อมูลเชิงลึกเกี่ยวกับซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ สามารถรันคำสั่งและถ่ายทอดเอาต์พุตไปยังเซิร์ฟเวอร์ C2 รวมถึงทำงานที่ใช้ไฟล์ตามคำสั่งของผู้ปฏิบัติงาน

นอกเหนือจาก CurKeep แล้ว แคมเปญยังใช้เครื่องมืออื่นๆ ซึ่งหลักๆ คือตัวโหลด ซึ่งดำเนินการผ่านวิธีการโหลด DLL ด้านข้างที่คล้ายกัน สิ่งที่น่าสนใจในหมู่พวกเขาคือตัวโหลด CurLu, CurCore และตัวโหลด CurLog ซึ่งแต่ละตัวมีฟังก์ชันการทำงานและกลไกการติดไวรัสที่เป็นเอกลักษณ์

ปฏิบัติการอาชญากรรมทางไซเบอร์ 'Stayin' Alive' ได้รับการปรับแต่งตามเป้าหมายเฉพาะ

'Stayin' Alive' ใช้ตัวอย่างและเวอร์ชันที่แตกต่างกันของตัวโหลดและเพย์โหลดเหล่านี้ ซึ่งมักปรับแต่งให้เหมาะกับเป้าหมายในภูมิภาคที่เฉพาะเจาะจง รวมถึงภาษา ชื่อไฟล์ และองค์ประกอบเฉพาะเรื่อง ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เชื่อว่าคลัสเตอร์ที่เพิ่งถูกค้นพบอาจเป็นเพียงส่วนหนึ่งของแคมเปญขนาดใหญ่ที่รวมเครื่องมือและเทคนิคการโจมตีเพิ่มเติมที่ไม่เปิดเผย

จากเครื่องมือพิเศษหลากหลายประเภทที่ใช้ในการโจมตีเหล่านี้และการปรับแต่งในระดับสูง เห็นได้ชัดว่าเครื่องมือเหล่านี้ได้รับการออกแบบมาให้ทิ้งได้ง่าย แม้จะมีความแตกต่างในโค้ดของเครื่องมือเหล่านี้ แต่เครื่องมือเหล่านี้ล้วนสร้างการเชื่อมต่อกับโครงสร้างพื้นฐานเดียวกัน ซึ่งก่อนหน้านี้มีความเกี่ยวข้องกับ ToddyCat ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ของจีน