Une campagne connue sous le nom "Rester vivant" cible activement les organisations gouvernementales et les fournisseurs de services de télécommunications dans toute l’Asie depuis 2021.
But de l'attaque
En employant un large éventail de malware « jetable » pour échapper à la détection, la campagne se concentre principalement sur des entités au Kazakhstan, en Ouzbékistan, au Pakistan et au Vietnam, avec Check Point, une société de cybersécurité, qui suit ces activités.
Les chercheurs de Check Point ont noté l’utilisation de divers outils personnalisés par les acteurs malveillants dans cette campagne. Ces outils sont conçus pour être facilement ignorés, ce qui rend difficile l’association des attaques entre elles ou avec des ensembles d’outils connus.
Mode de fonctionnement
L’attaque est lancée via des e-mails de spear phishing adaptés à des individus spécifiques au sein d’organisations clés. Les e-mails invitent les destinataires à ouvrir un fichier ZIP contenant un fichier exécutable signé numériquement correspondant au contexte de l'e-mail et une DLL malveillante. Cette DLL présente le « CurKeep » malware dans le système. CurKeep, une porte dérobée de 10 Ko, établit la persistance, relaie les informations système vers un serveur de commande et de contrôle (C2) et attend des instructions supplémentaires.
Au-delà de CurKeep, la campagne déploie des outils supplémentaires tels que les chargeurs CurLu, CurCore et CurLog, chacun avec des fonctionnalités et des mécanismes d'infection distincts. CurCore se distingue par sa capacité à créer des fichiers, à exécuter des commandes à distance et à manipuler des données.
Une autre porte dérobée distincte, « StylerServ », fonctionne comme un écouteur passif surveillant des ports spécifiques pour les fichiers de configuration cryptés. Son objectif exact n'est pas divulgué, mais il est présumé servir de mécanisme de configuration pour d'autres composants malveillants.
La campagne adapte ces outils à des cibles régionales spécifiques, en utilisant divers échantillons et variantes. Ces outils identifiés ne représentent peut-être qu’un segment d’une campagne plus vaste impliquant des outils et des méthodes d’attaque non découverts.
Malgré la diversité et la personnalisation de ces outils, ils se connecteraient tous à la même infrastructure, auparavant liée à ToddyCat, un groupe de cyber-espions chinois.
L'un des logiciels malveillants notables découverts est "Agent Ninja", équipé de capacités de gestion de fichiers et de shell inversé.
ToddyCat a également déployé d'autres outils tels que LoFiSe, Cobalt Strike, DropBox Uploader et une porte dérobée UDP passive dans ces attaques, indiquant l'étendue et la complexité de leurs opérations.
La prévention est un facteur crucial
RELIANOID propose des solutions de pointe conçues pour anticiper et atténuer les cybermenaces sophistiquées comme la campagne « Stayin' Alive » observée à travers l'Asie. En tirant parti des renseignements avancés sur les menaces et des mesures de sécurité adaptatives, RELIANOIDLa plate-forme de détecte et déjoue divers logiciels malveillants jetables utilisés dans ces attaques en analysant l'inspection du contenu et en empêchant le téléchargement de fichiers exécutables. En utilisant une surveillance proactive, une analyse comportementale et des protocoles de sécurité personnalisables, RELIANOID renforce efficacement les réseaux et les systèmes contre ces cyber-intrusions évolutives. Téléchargez l'équilibreur de charge prêt pour l'entreprise et profitez de l'expérience de fiabilité du site.
Articles de blog associés
