Puerta trasera CurKeep

La amenaza de malware personalizado conocida como CurKeep Backdoor ha sido identificada como un componente clave en una campaña de ciberataque descubierta recientemente llamada 'Stayin' Alive'. Esta campaña en curso, que comenzó en 2021, se ha centrado específicamente en organizaciones gubernamentales y proveedores de servicios de telecomunicaciones en varios países asiáticos. Los atacantes detrás de esta campaña emplean una amplia gama de malware "desechable" para evitar ser detectados.

Los investigadores de seguridad han observado que una parte importante de los objetivos de la campaña se encuentran en países como Kazajstán, Uzbekistán, Pakistán y Vietnam. La campaña 'Stayin' Alive' sigue activa y sigue representando una amenaza.

Los ciberataques asociados a esta campaña se atribuyen al grupo de espionaje chino denominado 'ToddyCat'. Este grupo emplea mensajes de phishing que contienen archivos adjuntos amenazantes, que se utilizan para entregar una variedad de cargadores de malware y puertas traseras.

La puerta trasera CurKeep se implementa mediante tácticas de phishing

Los investigadores han identificado una amplia gama de herramientas personalizadas empleadas por los actores de amenazas, que creen que están diseñadas para ser desechables con el fin de frustrar la detección y evitar la vinculación de varios ataques.

El ataque comienza con un correo electrónico de phishing, cuidadosamente diseñado para apuntar a individuos específicos dentro de organizaciones críticas, instándolos a abrir un archivo ZIP adjunto. Dentro del archivo, existe un ejecutable firmado digitalmente, cuyo nombre se ajusta cuidadosamente al contexto del correo electrónico. También contiene una DLL corrupta que explota una vulnerabilidad (CVE-2022-23748) en el software Dante Discovery de Audinate, facilitando así la carga lateral del malware CurKeep en el sistema comprometido.

CurKeep, una puerta trasera liviana de 10 kb, es responsable de establecer la persistencia en el dispositivo atacado. Envía información del sistema al servidor de comando y control (C2) y luego espera más instrucciones. Esta puerta trasera posee la capacidad de extraer una lista de directorios de los archivos de programa de la víctima, proporcionando información sobre el software instalado en la computadora. Puede ejecutar comandos y transmitir la salida al servidor C2, así como realizar tareas basadas en archivos de acuerdo con las directivas de sus operadores.

Además de CurKeep, la campaña emplea otras herramientas, principalmente cargadores, ejecutados mediante métodos similares de carga lateral de DLL. Entre ellos destacan el cargador CurLu, CurCore y CurLog, cada uno equipado con funcionalidades y mecanismos de infección únicos.

La operación de cibercrimen 'Stayin' Alive' se adapta a objetivos específicos

'Stayin' Alive' emplea una variedad de muestras y versiones distintas de estos cargadores y cargas útiles, frecuentemente personalizadas para adaptarse a objetivos regionales específicos, incluido el idioma, los nombres de archivos y los elementos temáticos. Los expertos en ciberseguridad creen que el grupo recientemente descubierto probablemente sea sólo una parte de una campaña más amplia que abarca herramientas y técnicas de ataque adicionales no reveladas.

Teniendo en cuenta la amplia variedad de herramientas únicas utilizadas en estos ataques y su alto grado de personalización, es evidente que están diseñadas para descartarse fácilmente. A pesar de las diferencias en el código de estas herramientas, todas establecen conexiones con la misma infraestructura, que anteriormente ha estado asociada con ToddyCat, un grupo chino de ciberespionaje.