ΑρχικήSecurityToddyCat: Χρησιμοποιεί "disposable" malware για επιθέσεις

ToddyCat: Χρησιμοποιεί “disposable” malware για επιθέσεις

Μια πρόσφατα ανακαλυφθείσα επιχείρηση με την ονομασία “Stayin’ Alive” έχει στοχεύσει κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιών σε ολόκληρη την Ασία από το 2021, χρησιμοποιώντας μια μεγάλη ποικιλία “disposable” malware για να αποφεύγει τον εντοπισμό. Οι επιθέσεις φαίνεται να προέρχονται από την κινεζική ομάδα κατασκοπείας με το όνομα ‘ToddyCat’, που βασίζεται σε μηνύματα spear-phishing με κακόβουλα συνημμένα, για να φορτώσουν μια ποικιλία από φορτωτές κακόβουλου λογισμικού και backdoors.

Δείτε επίσης: VBScript: Η Microsoft αποσύρει τη χρήση του στα Windows για τον περιορισμό της διάδοσης malware
ToddyCat

Οι περισσότεροι από τους στόχους της εκστρατείας που εντοπίστηκαν από την εταιρεία κυβερνοασφάλειας Check Point βρίσκονται στο Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ, ενώ η εκστρατεία εξακολουθεί να εξελίσσεται.

Οι ερευνητές εξηγούν ότι οι επιτιθέμενοι χρησιμοποιούν διάφορα είδη εξατομικευμένων εργαλείων, τα οποία είναι disposable, για να αποφύγουν τη ανίχνευση και να εμποδίσουν τη σύνδεση των επιθέσεων μεταξύ τους.

Η επίθεση ξεκινά με ένα email spear-phishing που σχεδιάστηκε για να επιτεθεί σε συγκεκριμένα άτομα σε κορυφαίες οργανώσεις, παροτρύνοντάς τους να ανοίξουν το συνημμένο αρχείο ZIP.

Το αρχείο περιέχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο με το όνομα που ταιριάζει με το περιεχόμενο του ηλεκτρονικού μηνύματος και ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate για να φορτώσει παράλληλα το κακόβουλο λογισμικό “CurKeep” στο σύστημα.

Το CurKeep είναι ένα παρασκηνιακό πρόγραμμα 10kb που εδραιώνει την μόνιμη παρουσία στην παραβιασμένη συσκευή, αποστέλλει πληροφορίες συστήματος στον διακομιστή ελέγχου και εν συνεχεία αναμένει εντολές.

Δείτε ακόμα: Το Formbook είναι το πιο ευρέως διαδεδομένο malware

disposable malware

Το backdoor μπορεί να αποστείλει μια λίστα με τους φακέλους του προγράμματος για τον υπολογιστή του θύματος, που υποδεικνύει ποιο λογισμικό είναι εγκατεστημένο στον υπολογιστή, να εκτελεί εντολές και να στέλνει τα αποτελέσματα στο διακομιστή C2 και να επεξεργάζεται αρχεία όπως έχει οριστεί από τους χειριστές του.

Πέρα ​​από το CurKeep, η καμπάνια χρησιμοποιεί και άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται κυρίως μέσω παρόμοιων μεθόδων πλευρικής φόρτωσης DLL. Ανάμεσα στις επίσημες εφαρμογές περιλαμβάνονται ο CurLu loader, ο CurCore και ο CurLog loader, με κάθε έναν να διαθέτει μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.

Το CurCore είναι το πιο ενδιαφέρον από τα δευτερεύοντα φορτία, καθώς μπορεί να δημιουργήσει αρχεία και να γεμίσει το περιεχόμενό τους με αυθαίρετα δεδομένα, να εκτελέσει απομακρυσμένες εντολές ή να διαβάσει ένα αρχείο και να επιστρέψει τα δεδομένα του σε κωδικοποίηση base64.

Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware

Ένα αξιοσημείωτο backdoor που ξεχωρίζει από τα υπόλοιπα είναι το ‘StylerServ‘, το οποίο λειτουργεί ως ένας παθητικός ακροατής που παρακολουθεί την κίνηση σε πέντε θύρες (60810 έως 60814) για ένα συγκεκριμένο κρυπτογραφημένο αρχείο διαμόρφωσης XOR (‘stylers.bin’).

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS