Μια πρόσφατα ανακαλυφθείσα καμπάνια με την ονομασία “Stayin’ Alive” στοχεύει κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιακών υπηρεσιών σε ολόκληρη την Ασία από το 2021, χρησιμοποιώντας μια μεγάλη ποικιλία κακόβουλου λογισμικού “μίας χρήσης” για να αποφύγει την ανίχνευση.
Οι περισσότεροι από τους στόχους της εκστρατείας που είδε η εταιρεία κυβερνοασφάλειας Check Point εδρεύουν στο Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ, ενώ η εκστρατεία βρίσκεται ακόμη σε εξέλιξη.
Οι επιθέσεις φαίνεται να προέρχονται από τον κινεζικό παράγοντα κατασκοπείας που είναι γνωστός ως “ToddyCat”, ο οποίος βασίζεται σε μηνύματα spear-phishing που μεταφέρουν κακόβουλα συνημμένα αρχεία για να φορτώσει μια ποικιλία φορτωτών κακόβουλου λογισμικού και backdoors.
Οι ερευνητές εξηγούν ότι οι απειλητικοί φορείς χρησιμοποιούν πολλούς διαφορετικούς τύπους προσαρμοσμένων εργαλείων, τα οποία πιστεύουν ότι είναι μιας χρήσης για να αποφύγουν την ανίχνευση και να αποτρέψουν τη σύνδεση των επιθέσεων μεταξύ τους.
“Το ευρύ σύνολο εργαλείων που περιγράφονται στην παρούσα έκθεση είναι κατά παραγγελία και πιθανότατα εύκολα αναλώσιμα. Ως αποτέλεσμα, δεν παρουσιάζουν σαφείς επικαλύψεις κώδικα με οποιοδήποτε γνωστό σύνολο εργαλείων, ούτε καν μεταξύ τους”, εξηγεί η Check Point.
Η επίθεση ξεκινά με ένα email
Η επίθεση ξεκινά με ένα spear-phishing email που έχει σχεδιαστεί για να στοχεύει συγκεκριμένα άτομα σε οργανισμούς-κλειδιά, προτρέποντάς τα να ανοίξουν το συνημμένο αρχείο ZIP.
Το αρχείο περιέχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο με όνομα που ταιριάζει με το πλαίσιο του email και ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate για να φορτώσει το κακόβουλο λογισμικό “CurKeep” στο σύστημα.
Το CurKeep είναι μια κερκόπορτα 10kb που εγκαθιδρύει επιμονή στη συσκευή που έχει παραβιαστεί, στέλνει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και στη συνέχεια περιμένει εντολές.
Το backdoor μπορεί να εξαγάγει μια λίστα καταλόγων για τα αρχεία προγραμμάτων του θύματος, υποδεικνύοντας ποιο λογισμικό είναι εγκατεστημένο στον υπολογιστή, να εκτελεί εντολές και να στέλνει την έξοδο στον διακομιστή C2 και να χειρίζεται εργασίες που βασίζονται σε αρχεία, σύμφωνα με τις οδηγίες των χειριστών του.
Πέρα από το CurKeep, η εκστρατεία χρησιμοποιεί και άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται κυρίως μέσω παρόμοιων μεθόδων παράλληλης φόρτωσης DLL.
Στα αξιοσημείωτα περιλαμβάνονται οι φορτωτές CurLu, CurCore και CurLog, ο καθένας με μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.
Το CurCore είναι το πιο ενδιαφέρον από τα δευτερεύοντα ωφέλιμα φορτία, καθώς μπορεί να δημιουργήσει αρχεία και να συμπληρώσει τα περιεχόμενά τους με αυθαίρετα δεδομένα, να εκτελέσει απομακρυσμένες εντολές ή να διαβάσει ένα αρχείο και να επιστρέψει τα δεδομένα του σε κωδικοποιημένη μορφή base64.
Ένα άλλο αξιοσημείωτο backdoor που ξεχωρίζει από τα υπόλοιπα είναι το ‘StylerServ’, το οποίο λειτουργεί ως παθητικός ακροατής που παρακολουθεί την κυκλοφορία σε πέντε θύρες (60810 έως 60814) για ένα συγκεκριμένο αρχείο ρυθμίσεων με κρυπτογράφηση XOR (‘stylers.bin’).
Η έκθεση δεν προσδιορίζει την ακριβή λειτουργία ή τον σκοπό του StylerServ ή του stylers.bin, αλλά είναι πιθανό να αποτελεί μέρος ενός κρυφού μηχανισμού εξυπηρέτησης ρυθμίσεων για άλλα στοιχεία κακόβουλου λογισμικού.
Η Check Point αναφέρει ότι το “Stayin’ Alive” χρησιμοποιεί διάφορα δείγματα και παραλλαγές αυτών των φορτωτών και ωφέλιμων φορτίων, συχνά προσαρμοσμένα σε συγκεκριμένους περιφερειακούς στόχους (γλώσσα, ονόματα αρχείων, θέματα).
Η εταιρεία ασφαλείας αναφέρει ότι η πρόσφατα εντοπισμένη συστάδα είναι πιθανότατα τμήμα μιας ευρύτερης εκστρατείας που περιλαμβάνει περισσότερα μη ανακαλυφθέντα εργαλεία και μεθόδους επίθεσης.
Κρίνοντας από τη μεγάλη ποικιλία διαφορετικών εργαλείων που παρατηρήθηκαν στις επιθέσεις και το επίπεδο προσαρμογής τους, φαίνεται ότι πρόκειται για εργαλεία μίας χρήσης.
Παρά τις διαφορές στον κώδικα αυτών των εργαλείων, όλα συνδέονται με την ίδια υποδομή, την οποία η Kaspersky συνέδεσε προηγουμένως με την ToddyCat, μια ομάδα κινεζικών κατασκόπων στον κυβερνοχώρο.
Ενημέρωση 10/12 – Λίγο μετά τη δημοσίευση αυτής της έκθεσης, η Kaspersky δημοσίευσε μια ενημέρωση σχετικά με την παρακολούθηση της APT ToddyCat, επισημαίνοντας νέες μεθόδους επίθεσης και ωφέλιμα φορτία που ανακάλυψαν πρόσφατα οι αναλυτές της.
Κατά τη διάρκεια του περασμένου έτους, η Kaspersky παρατήρησε μια παράλληλη συστάδα δραστηριότητας από τον ίδιο φορέα απειλής, διαφορετική από αυτή που είδε η Check Point, με δύο παραλλαγές επιθέσεων που χρησιμοποιούν νόμιμα εκτελέσιμα αρχεία VLC για να φορτώσουν κακόβουλο λογισμικό χρησιμοποιώντας την τεχνική DLL sideloading.
Ένα αξιοσημείωτο κακόβουλο λογισμικό που αναπτύχθηκε σε αυτές τις επιθέσεις είναι το “Ninja Agent”, ο οποίος διαθέτει διαχείριση αρχείων, αντίστροφο κέλυφος, διαχείριση διεργασιών και άλλα.
Άλλα εργαλεία που χρησιμοποίησε η ToddyCat σε αυτές τις επιθέσεις περιλαμβάνουν το LoFiSe (ανιχνευτής και κλέφτης αρχείων), το Cobalt Strike (σουίτα δοκιμών διείσδυσης), το DropBox Uploader και ένα παθητικό UDP backdoor.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.