Des entités gouvernementales et de télécommunications de premier plan en Asie ont été ciblées dans le cadre d’une campagne en cours depuis 2021, conçue pour déployer des portes dérobées et des chargeurs de base pour diffuser des logiciels malveillants de niveau supérieur.
La société de cybersécurité Check Point suit l’activité sous le nom Rester vivant. Les cibles incluent des organisations situées au Vietnam, en Ouzbékistan, au Pakistan et au Kazakhstan.
« Le caractère simpliste des outils […] et leur grande variation suggère qu’ils sont jetables, principalement utilisés pour télécharger et exécuter des charges utiles supplémentaires », a-t-il déclaré. dit dans un rapport publié mercredi. « Ces outils ne partagent aucun chevauchement de code clair avec des produits créés par des acteurs connus et n’ont pas grand-chose en commun les uns avec les autres. »
Ce qu’il y a de remarquable dans la campagne, c’est que l’infrastructure les partages se chevauchent avec celui utilisé par ToddyCat, un acteur menaçant lié à la Chine connu pour avoir orchestré des cyberattaques contre des agences gouvernementales et militaires en Europe et en Asie depuis au moins décembre 2020.
Les chaînes d’attaque commencent par un e-mail de spear phishing contenant une pièce jointe de fichier ZIP avec un exécutable légitime qui exploite le chargement latéral de DLL pour charger une porte dérobée appelée CurKeep au moyen d’une DLL malveillante dal_keepalives.dll présente dans l’archive.
CurlKeep est conçu pour envoyer des informations sur l’hôte compromis à un serveur distant, exécuter les commandes envoyées par le serveur et écrire les réponses du serveur dans un fichier du système.
Un examen plus approfondi de l’infrastructure de commande et de contrôle (C2) a révélé un arsenal en constante évolution de variantes de chargeurs baptisées CurLu, CurCore et CurLog, capables de recevoir des fichiers DLL, d’exécuter des commandes à distance et de lancer un processus associé à un nouveau programme. fichier généré dans lequel les données du serveur sont écrites.
On a également découvert un implant passif nommé StylerServ qui écoute sur cinq ports différents (60810, 60811, 60812, 60813 et 60814) pour accepter une connexion à distance et recevoir un fichier de configuration crypté.
Bien qu’il n’existe aucune preuve concluante reliant Stayin’ Alive à ToddyCat, les résultats montrent que les deux ensembles d’intrusions utilisent la même infrastructure pour s’attaquer à un ensemble similaire de cibles.
« L’utilisation de chargeurs et de téléchargeurs jetables, comme observé dans cette campagne, devient de plus en plus courante, même parmi les acteurs sophistiqués », a déclaré Check Point. « L’utilisation d’outils jetables rend les efforts de détection et d’attribution plus difficiles, car ils sont souvent remplacés et éventuellement écrits à partir de zéro. »