CurKeep バックドア

CurKeep Backdoor として知られるカスタム マルウェアの脅威は、最近発見された「Stayin' Alive」と呼ばれるサイバー攻撃キャンペーンの主要なコンポーネントとして特定されました。 2021 年に始まったこの継続的なキャンペーンは、特にアジア各国の政府機関や電気通信サービスプロバイダーに焦点を当てています。このキャンペーンの背後にいる攻撃者は、検出を回避するためにさまざまな「使い捨て」マルウェアを使用しています。

安全保障研究者らは、キャンペーンのターゲットの大部分がカザフスタン、ウズベキスタン、パキスタン、ベトナムなどの国に位置していることを観察しています。 「Stayin' Alive」キャンペーンは今も活動しており、脅威をもたらし続けています。

このキャンペーンに関連したサイバー攻撃は、「ToddyCat」と呼ばれる中国のスパイグループによるものであると考えられています。このグループは、さまざまなマルウェア ローダーやバックドアを配信するために使用される、脅威となる添付ファイルを運ぶスピア フィッシング メッセージを使用します。

CurKeep バックドアはスピアフィッシング戦術によって導入される

研究者らは、脅威アクターが使用する幅広いカスタム ツールを特定しました。これらのツールは、検出を阻止し、さまざまな攻撃の連鎖を防ぐために使い捨てに設計されていると考えられています。

この攻撃は、重要な組織内の特定の個人をターゲットにするように注意深く調整されたスピア フィッシングメールから始まり、添付された ZIP ファイルを開くよう促します。アーカイブ内には、電子メールのコンテキストに合わせて注意深く名前が付けられた、デジタル署名された実行可能ファイルが存在します。また、Audinate の Dante Discovery ソフトウェアの脆弱性 (CVE-2022-23748) を悪用する破損した DLL も含まれているため、侵害されたシステムへの CurKeep マルウェアのサイドローディングが容易になります。

CurKeep は軽量の 10kb バックドアであり、侵害されたデバイス上で永続性を確立する役割を果たします。システム情報をコマンドアンドコントロール (C2) サーバーに送信し、さらなる指示を待ちます。このバックドアは、被害者のプログラム ファイルからディレクトリ リストを抽出する機能を備えており、コンピュータにインストールされているソフトウェアに関する洞察を提供します。コマンドを実行して出力を C2 サーバーに中継したり、オペレーターの指示に従ってファイルベースのタスクを実行したりできます。

このキャンペーンでは、CurKeep に加えて、同様の DLL サイドローディング メソッドを通じて実行される他のツール、主にローダーも使用されています。中でも注目に値するのは、CurLu ローダー、CurCore、および CurLog ローダーであり、それぞれに独自の機能と感染メカニズムが備わっています。

「Stayin' Alive」サイバー犯罪作戦は特定のターゲットに応じて調整される

「Stayin' Alive」では、これらのローダーとペイロードのさまざまなサンプルとバージョンが使用されており、言語、ファイル名、テーマ要素など、特定の地域ターゲットに合わせてカスタマイズされることがよくあります。サイバーセキュリティの専門家は、最近発見されたクラスターはおそらく、さらなる未公開のツールや攻撃手法を含む大規模なキャンペーンの一部にすぎないと考えています。

これらの攻撃に使用される独自のツールの広範な品揃えとその高度なカスタマイズに基づいて、それらが簡単に破棄されるように設計されていることは明らかです。これらのツールのコードには違いがありますが、これらはすべて、以前は中国のサイバースパイグループである ToddyCat と関連付けられていた同じインフラストラクチャとの接続を確立します。