CurKeep Backdoor
Ang custom na banta ng malware na kilala bilang CurKeep Backdoor ay natukoy bilang isang mahalagang bahagi sa isang kamakailang natuklasang cyberattack campaign na tinatawag na 'Stayin' Alive.' Ang patuloy na kampanyang ito, na nagsimula noong 2021, ay partikular na nakatuon sa mga organisasyon ng gobyerno at mga tagapagbigay ng serbisyo ng telekomunikasyon sa iba't ibang bansa sa Asya. Gumagamit ang mga umaatake sa likod ng campaign na ito ng magkakaibang hanay ng 'disposable' malware upang maiwasan ang pagtuklas.
Naobserbahan ng mga mananaliksik sa seguridad na ang isang malaking bahagi ng mga target ng kampanya ay matatagpuan sa mga bansa tulad ng Kazakhstan, Uzbekistan, Pakistan at Vietnam. Aktibo pa rin ang kampanyang 'Stayin' Alive' at patuloy na nagbabanta.
Ang mga cyberattack na nauugnay sa kampanyang ito ay iniuugnay sa grupong espionage ng China na tinutukoy bilang 'ToddyCat.' Gumagamit ang grupong ito ng mga mensaheng spear-phishing na may mga nagbabantang attachment, na ginagamit para maghatid ng iba't ibang malware loader at backdoors.
Ang CurKeep Backdoor ay Na-deploy sa pamamagitan ng Spear-Phishing Tactics
Natukoy ng mga mananaliksik ang isang malawak na hanay ng mga custom na tool na ginagamit ng mga aktor ng pagbabanta, na pinaniniwalaan nilang idinisenyo upang maging disposable upang hadlangan ang pagtuklas at maiwasan ang pagkakaugnay ng iba't ibang pag-atake.
Ang pag-atake ay nagsisimula sa isang spear-phishing na email, na maingat na iniakma upang i-target ang mga partikular na indibidwal sa loob ng mga kritikal na organisasyon, na humihimok sa kanila na magbukas ng isang naka-attach na ZIP file. Sa loob ng archive, mayroong isang digitally signed executable, maingat na pinangalanan upang iayon sa konteksto ng email. Naglalaman din ito ng sirang DLL na nagsasamantala sa isang kahinaan (CVE-2022-23748) sa Dante Discovery software ng Audinate, at sa gayon ay pinapadali ang side-loading ng CurKeep malware papunta sa nakompromisong system.
Ang CurKeep, isang magaan na 10kb na backdoor, ay responsable para sa pagtatatag ng pagtitiyaga sa nalabag na device. Nagpapadala ito ng impormasyon ng system sa command-and-control (C2) server at pagkatapos ay naghihintay ng karagdagang mga tagubilin. Ang backdoor na ito ay nagtataglay ng kakayahang mag-exfiltrate ng isang listahan ng direktoryo mula sa Program Files ng biktima, na nagbibigay ng mga insight sa software na naka-install sa computer. Maaari itong magsagawa ng mga utos at maghatid ng output sa C2 server, pati na rin magsagawa ng mga gawaing nakabatay sa file ayon sa mga direktiba ng mga operator nito.
Bilang karagdagan sa CurKeep, gumagamit ang kampanya ng iba pang mga tool, pangunahin ang mga loader, na isinagawa sa pamamagitan ng mga katulad na paraan ng pag-load sa gilid ng DLL. Kapansin-pansin sa mga ito ay ang CurLu loader, CurCore, at CurLog loader, bawat isa ay nilagyan ng mga natatanging pag-andar at mekanismo ng impeksyon.
Ang 'Stayin' Alive' Cybercrime Operation ay Iniayon sa Mga Tukoy na Target
Gumagamit ang 'Stayin' Alive' ng isang hanay ng mga natatanging sample at bersyon ng mga loader at payload na ito, na madalas na naka-customize upang umangkop sa mga partikular na target ng rehiyon, kabilang ang wika, mga pangalan ng file, at mga elementong pampakay. Naniniwala ang mga dalubhasa sa cybersecurity na ang kamakailang natuklasang kumpol ay malamang na bahagi lamang ng isang mas malaking kampanya na sumasaklaw sa mga karagdagang hindi ibinunyag na tool at mga diskarte sa pag-atake.
Batay sa malawak na uri ng mga natatanging tool na ginagamit sa mga pag-atake na ito at ang kanilang mataas na antas ng pag-customize, maliwanag na ang mga ito ay idinisenyo upang madaling itapon. Sa kabila ng mga pagkakaiba sa code ng mga tool na ito, lahat sila ay nagtatag ng mga koneksyon sa parehong imprastraktura, na dati nang nauugnay sa ToddyCat, isang Chinese cyber espionage group.
