En kampagne kendt som “Stayin' Alive” har aktivt målrettet offentlige organisationer og telekommunikationsudbydere i hele Asien siden 2021.
Målet med angrebet
Ansættelse af en bred vifte af "Engangs"-malware For at undgå at blive opdaget fokuserer kampagnen primært på enheder i Kasakhstan, Usbekistan, Pakistan og Vietnam, hvor cybersikkerhedsfirmaet Check Point sporer disse aktiviteter.
Check Point-forskere har bemærket brugen af forskellige brugerdefinerede værktøjer fra trusselsaktører i denne kampagne. Disse værktøjer er designet til let at kunne kasseres, hvilket gør det vanskeligt at forbinde angreb med hinanden eller med kendte værktøjssæt.
Funktionsmåde
Angrebet starter via spear-phishing-e-mails, der er skræddersyet til specifikke personer i nøgleorganisationer. E-mailsene beder modtagerne om at åbne en ZIP-fil, der indeholder en digitalt signeret eksekverbar fil, der matcher e-mailkonteksten, og en ondsindet DLL. Denne DLL introducerer "KurKeep" malware ind i systemet. CurKeep, en 10kb bagdør, etablerer persistens, videresender systeminformation til en kommando-og-kontrol (C2) server og afventer yderligere instruktioner.
Ud over CurKeep anvender kampagnen yderligere værktøjer som CurLu, CurCore og CurLog-indlæsere, der hver især har forskellige funktioner og infektionsmekanismer. CurCore skiller sig ud ved at kunne oprette filer, udføre fjernkommandoer og manipulere data.
En anden tydelig bagdør, 'StylerServ', fungerer som en passiv lytter, der overvåger specifikke porte for krypterede konfigurationsfiler. Dens nøjagtige formål forbliver ukendt, men formodes at fungere som en konfigurationsmekanisme for andre malware-komponenter.
Kampagnen skræddersyr disse værktøjer til specifikke regionale mål ved hjælp af forskellige prøver og varianter. Disse identificerede værktøjer repræsenterer muligvis kun et segment af en mere omfattende kampagne, der involverer uopdagede værktøjer og angrebsmetoder.
Trods mangfoldigheden og tilpasningsmulighederne for disse værktøjer, er de angiveligt alle forbundet med den samme infrastruktur, der tidligere var forbundet med ToddyCat, en gruppe kinesiske cyberspioner.
En af de bemærkelsesværdige malware-opdagelser, der er blevet opdaget, er 'Ninja-agent', udstyret med filhåndtering og reverse shell-funktioner.
ToddyCat anvendte også andre værktøjer som LoFiSe, Cobalt Strike, DropBox Uploader og en passiv UDP-bagdør i disse angreb, hvilket indikerer bredden og kompleksiteten af deres operationer.
Forebyggelse er en afgørende faktor
RELIANOID tilbyder banebrydende løsninger designet til at forebygge og afbøde sofistikerede cybertrusler ligesom kampagnen “Stayin' Alive” observeret over hele Asien. Ved at udnytte avanceret trusselsefterretning og adaptive sikkerhedsforanstaltninger, RELIANOIDs platform registrerer og forhindrer forskelligartet, engangsmalware, der bruges i disse angreb, ved at analysere indholdsinspektion og forhindre download af eksekverbare filer. Ved at anvende proaktiv overvågning, adfærdsanalyse og brugerdefinerede sikkerhedsprotokoller, RELIANOID effektivt styrker netværk og systemer mod sådanne udviklende cyberindtrængen. Download load balancer, der er klar til virksomheder og nyd oplevelsen af webstedets pålidelighed.
Relaterede blogs
