CurKeep-Hintertür

Die benutzerdefinierte Malware-Bedrohung namens CurKeep Backdoor wurde als Schlüsselkomponente einer kürzlich aufgedeckten Cyberangriffskampagne namens „Stayin‘ Alive“ identifiziert. Diese laufende Kampagne, die im Jahr 2021 begann, konzentrierte sich speziell auf Regierungsorganisationen und Telekommunikationsdienstleister in verschiedenen asiatischen Ländern. Die Angreifer hinter dieser Kampagne nutzen eine Vielzahl von „Einweg“-Malware, um einer Entdeckung zu entgehen.

Sicherheitsforscher haben beobachtet, dass sich ein erheblicher Teil der Ziele der Kampagne in Ländern wie Kasachstan, Usbekistan, Pakistan und Vietnam befindet. Die Kampagne „Stayin‘ Alive“ ist immer noch aktiv und stellt weiterhin eine Bedrohung dar.

Die mit dieser Kampagne verbundenen Cyberangriffe werden der chinesischen Spionagegruppe „ToddyCat“ zugeschrieben. Diese Gruppe verwendet Spear-Phishing-Nachrichten mit bedrohlichen Anhängen, die zur Bereitstellung verschiedener Malware-Loader und Hintertüren verwendet werden.

Die CurKeep-Hintertür wird durch Spear-Phishing-Taktiken eingesetzt

Die Forscher haben eine breite Palette maßgeschneiderter Tools identifiziert, die von Bedrohungsakteuren eingesetzt werden und von denen sie glauben, dass sie als Einwegtools konzipiert sind, um die Erkennung zu vereiteln und die Verknüpfung verschiedener Angriffe zu verhindern.

Der Angriff beginnt mit einer Spear-Phishing-E-Mail, die sorgfältig auf bestimmte Personen in kritischen Organisationen zugeschnitten ist und sie dazu auffordert, eine angehängte ZIP-Datei zu öffnen. Im Archiv befindet sich eine digital signierte ausführbare Datei, deren Name sorgfältig auf den Kontext der E-Mail abgestimmt ist. Es enthält außerdem eine beschädigte DLL, die eine Schwachstelle (CVE-2022-23748) in der Dante Discovery-Software von Audinate ausnutzt und so das Querladen der CurKeep-Malware auf das kompromittierte System erleichtert.

CurKeep, eine leichte 10-KB-Hintertür, ist dafür verantwortlich, die Persistenz auf dem angegriffenen Gerät herzustellen. Es sendet Systeminformationen an den Command-and-Control-Server (C2) und wartet dann auf weitere Anweisungen. Diese Hintertür verfügt über die Fähigkeit, eine Verzeichnisliste aus den Programmdateien des Opfers zu extrahieren und so Einblicke in die auf dem Computer installierte Software zu erhalten. Es kann Befehle ausführen und die Ausgabe an den C2-Server weiterleiten sowie dateibasierte Aufgaben gemäß den Anweisungen seiner Bediener ausführen.

Zusätzlich zu CurKeep nutzt die Kampagne andere Tools, vor allem Loader, die über ähnliche DLL-Seitenlademethoden ausgeführt werden. Bemerkenswert unter ihnen sind der CurLu-Loader, CurCore und CurLog-Loader, die jeweils mit einzigartigen Funktionalitäten und Infektionsmechanismen ausgestattet sind.

Die Cybercrime-Operation „Stayin' Alive“ wird auf die spezifischen Ziele zugeschnitten

„Stayin' Alive“ verwendet eine Reihe unterschiedlicher Beispiele und Versionen dieser Lader und Nutzlasten, die häufig an spezifische regionale Ziele angepasst werden, einschließlich Sprache, Dateinamen und thematischen Elementen. Die Cybersicherheitsexperten gehen davon aus, dass der kürzlich aufgedeckte Cluster wahrscheinlich nur Teil einer größeren Kampagne ist, die weitere unbekannte Tools und Angriffstechniken umfasst.

Aufgrund der umfangreichen Auswahl einzigartiger Tools, die bei diesen Angriffen eingesetzt werden, und ihres hohen Individualisierungsgrads ist es offensichtlich, dass sie so konzipiert sind, dass sie leicht entsorgt werden können. Trotz der Unterschiede im Code dieser Tools stellen sie alle Verbindungen mit derselben Infrastruktur her, die zuvor mit ToddyCat, einer chinesischen Cyberspionagegruppe, in Verbindung gebracht wurde.