Porte dérobée CurKeep

La menace de malware personnalisé connue sous le nom de CurKeep Backdoor a été identifiée comme un élément clé d'une campagne de cyberattaque récemment découverte appelée « Stayin' Alive ». Cette campagne en cours, qui a débuté en 2021, s'est spécifiquement concentrée sur les organisations gouvernementales et les fournisseurs de services de télécommunications de divers pays asiatiques. Les attaquants à l'origine de cette campagne emploient une gamme variée de logiciels malveillants « jetables » pour éviter d'être détectés.

Les chercheurs en sécurité ont observé qu'une partie importante des cibles de la campagne se trouvent dans des pays comme le Kazakhstan, l'Ouzbékistan, le Pakistan et le Vietnam. La campagne « Stayin' Alive » est toujours active et continue de constituer une menace.

Les cyberattaques associées à cette campagne sont attribuées au groupe d'espionnage chinois appelé « ToddyCat ». Ce groupe utilise des messages de spear phishing contenant des pièces jointes menaçantes, qui sont utilisées pour diffuser divers chargeurs de logiciels malveillants et portes dérobées.

La porte dérobée CurKeep est déployée via des tactiques de spear-phishing

Les chercheurs ont identifié un large éventail d'outils personnalisés utilisés par les acteurs de la menace, qui, selon eux, sont conçus pour être jetables afin de contrecarrer la détection et d'empêcher l'association de diverses attaques.

L’attaque commence par un e-mail de spear phishing, soigneusement conçu pour cibler des individus spécifiques au sein d’organisations critiques, les invitant à ouvrir un fichier ZIP joint. Dans l'archive, il existe un exécutable signé numériquement, soigneusement nommé pour s'aligner sur le contexte de l'e-mail. Il contient également une DLL corrompue qui exploite une vulnérabilité (CVE-2022-23748) du logiciel Dante Discovery d'Audinate, facilitant ainsi le chargement latéral du malware CurKeep sur le système compromis.

CurKeep, une porte dérobée légère de 10 Ko, est chargée d'établir la persistance sur l'appareil piraté. Il envoie des informations système au serveur de commande et de contrôle (C2), puis attend des instructions supplémentaires. Cette porte dérobée possède la capacité d'exfiltrer une liste de répertoires des fichiers programme de la victime, fournissant ainsi un aperçu des logiciels installés sur l'ordinateur. Il peut exécuter des commandes et relayer la sortie vers le serveur C2, ainsi qu'effectuer des tâches basées sur des fichiers selon les directives de ses opérateurs.

En plus de CurKeep, la campagne utilise d'autres outils, principalement des chargeurs, exécutés via des méthodes similaires de chargement latéral de DLL. Parmi eux, il convient de noter les chargeurs CurLu, CurCore et CurLog, chacun équipé de fonctionnalités et de mécanismes d'infection uniques.

L'opération de cybercriminalité « Stayin' Alive » est adaptée aux cibles spécifiques

« Stayin' Alive » utilise une gamme d'échantillons et de versions distincts de ces chargeurs et charges utiles, fréquemment personnalisés pour s'adapter à des cibles régionales spécifiques, notamment la langue, les noms de fichiers et les éléments thématiques. Les experts en cybersécurité estiment que le cluster récemment découvert n'est probablement qu'une partie d'une campagne plus vaste qui englobe d'autres outils et techniques d'attaque non divulgués.

Compte tenu de la vaste gamme d’outils uniques utilisés dans ces attaques et de leur haut degré de personnalisation, il est évident qu’ils sont conçus pour être facilement éliminés. Malgré les différences dans le code de ces outils, ils établissent tous des connexions avec la même infrastructure, précédemment associée à ToddyCat, un groupe de cyberespionnage chinois.