Μια πρόσφατα ανακαλυφθείσα επιχείρηση με την ονομασία “Stayin’ Alive” έχει στοχεύσει κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιών σε ολόκληρη την Ασία από το 2021, χρησιμοποιώντας μια μεγάλη ποικιλία “disposable” malware για να αποφεύγει τον εντοπισμό. Οι επιθέσεις φαίνεται να προέρχονται από την κινεζική ομάδα κατασκοπείας με το όνομα ‘ToddyCat’, που βασίζεται σε μηνύματα spear-phishing με κακόβουλα συνημμένα, για να φορτώσουν μια ποικιλία από φορτωτές κακόβουλου λογισμικού και backdoors.
Δείτε επίσης: VBScript: Η Microsoft αποσύρει τη χρήση του στα Windows για τον περιορισμό της διάδοσης malware
Οι περισσότεροι από τους στόχους της εκστρατείας που εντοπίστηκαν από την εταιρεία κυβερνοασφάλειας Check Point βρίσκονται στο Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ, ενώ η εκστρατεία εξακολουθεί να εξελίσσεται.
Οι ερευνητές εξηγούν ότι οι επιτιθέμενοι χρησιμοποιούν διάφορα είδη εξατομικευμένων εργαλείων, τα οποία είναι disposable, για να αποφύγουν τη ανίχνευση και να εμποδίσουν τη σύνδεση των επιθέσεων μεταξύ τους.
Η επίθεση ξεκινά με ένα email spear-phishing που σχεδιάστηκε για να επιτεθεί σε συγκεκριμένα άτομα σε κορυφαίες οργανώσεις, παροτρύνοντάς τους να ανοίξουν το συνημμένο αρχείο ZIP.
Το αρχείο περιέχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο με το όνομα που ταιριάζει με το περιεχόμενο του ηλεκτρονικού μηνύματος και ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate για να φορτώσει παράλληλα το κακόβουλο λογισμικό “CurKeep” στο σύστημα.
Το CurKeep είναι ένα παρασκηνιακό πρόγραμμα 10kb που εδραιώνει την μόνιμη παρουσία στην παραβιασμένη συσκευή, αποστέλλει πληροφορίες συστήματος στον διακομιστή ελέγχου και εν συνεχεία αναμένει εντολές.
Δείτε ακόμα: Το Formbook είναι το πιο ευρέως διαδεδομένο malware
Το backdoor μπορεί να αποστείλει μια λίστα με τους φακέλους του προγράμματος για τον υπολογιστή του θύματος, που υποδεικνύει ποιο λογισμικό είναι εγκατεστημένο στον υπολογιστή, να εκτελεί εντολές και να στέλνει τα αποτελέσματα στο διακομιστή C2 και να επεξεργάζεται αρχεία όπως έχει οριστεί από τους χειριστές του.
Πέρα από το CurKeep, η καμπάνια χρησιμοποιεί και άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται κυρίως μέσω παρόμοιων μεθόδων πλευρικής φόρτωσης DLL. Ανάμεσα στις επίσημες εφαρμογές περιλαμβάνονται ο CurLu loader, ο CurCore και ο CurLog loader, με κάθε έναν να διαθέτει μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.
Το CurCore είναι το πιο ενδιαφέρον από τα δευτερεύοντα φορτία, καθώς μπορεί να δημιουργήσει αρχεία και να γεμίσει το περιεχόμενό τους με αυθαίρετα δεδομένα, να εκτελέσει απομακρυσμένες εντολές ή να διαβάσει ένα αρχείο και να επιστρέψει τα δεδομένα του σε κωδικοποίηση base64.
Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware
Ένα αξιοσημείωτο backdoor που ξεχωρίζει από τα υπόλοιπα είναι το ‘StylerServ‘, το οποίο λειτουργεί ως ένας παθητικός ακροατής που παρακολουθεί την κίνηση σε πέντε θύρες (60810 έως 60814) για ένα συγκεκριμένο κρυπτογραφημένο αρχείο διαμόρφωσης XOR (‘stylers.bin’).
Πηγή: bleepingcomputer