Asya’daki yüksek profilli hükümet ve telekomünikasyon kuruluşları, 2021’den bu yana devam eden ve bir sonraki aşamadaki kötü amaçlı yazılımları dağıtmak için temel arka kapılar ve yükleyicileri dağıtmak üzere tasarlanan bir kampanyanın parçası olarak hedefleniyor.
Siber güvenlik şirketi Check Point, etkinliği bu isim altında takip ediyor Hayatta kalmak. Hedefler arasında Vietnam, Özbekistan, Pakistan ve Kazakistan’da bulunan kuruluşlar yer alıyor.
“Araçların basit doğası […] Çarşamba günü yayınlanan bir raporda şöyle denildi: “Bu araçlar, bilinen herhangi bir aktör tarafından oluşturulan ürünlerle hiçbir açık kod örtüşmesini paylaşmaz ve pek fazla ortak noktaya sahip değildir.” birbirine göre.”
Kampanyada dikkate değer olan şey, altyapı paylaşımlarının, en az Aralık 2020’den bu yana Avrupa ve Asya’daki hükümete ve askeri kurumlara yönelik siber saldırılar düzenlemesiyle tanınan, Çin bağlantılı bir tehdit aktörü olan ToddyCat’in kullandığı altyapı paylaşımlarıyla örtüşmesidir.
Saldırı zincirleri, arşivde bulunan sahte bir DLL dal_keepalives.dll aracılığıyla CurKeep adlı bir arka kapıyı yüklemek için DLL yan yüklemesinden yararlanan yasal bir yürütülebilir dosya içeren bir ZIP dosyası eki içeren hedef odaklı kimlik avı e-postasıyla başlar.
CurlKeep, güvenliği ihlal edilen ana bilgisayar hakkındaki bilgileri uzak bir sunucuya göndermek, sunucu tarafından gönderilen komutları yürütmek ve sistemdeki bir dosyaya sunucu yanıtlarını yazmak için tasarlanmıştır.
Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, CurLu, CurCore ve CurLog olarak adlandırılan, DLL dosyalarını alabilen, uzaktan komutları yürütebilen ve yeni bir komutla ilişkili bir işlemi başlatabilen, sürekli gelişen yükleyici varyantlarının bir cephaneliğini ortaya çıkardı. Sunucudaki verilerin yazıldığı, oluşturulan dosya.
Ayrıca, uzaktan bağlantıyı kabul etmek ve şifrelenmiş bir yapılandırma dosyası almak için beş farklı bağlantı noktasını (60810, 60811, 60812, 60813 ve 60814) dinleyen StylerServ adlı pasif bir implant da keşfedildi.
Stayin’ Alive’ı ToddyCat’e bağlayan kesin bir kanıt olmasa da, bulgular her iki izinsiz giriş setinin de benzer hedeflerin peşinden gitmek için aynı altyapıyı kullandığını gösteriyor.
“Bu kampanyada gözlemlendiği gibi, tek kullanımlık yükleyicilerin ve indiricilerin kullanımı, gelişmiş aktörler arasında bile daha yaygın hale geliyor” dedi. “Tek kullanımlık araçların kullanımı, sıklıkla değiştirildikleri ve muhtemelen sıfırdan yazıldıkları için hem tespit hem de ilişkilendirme çabalarını daha da zorlaştırıyor.”