Недавние исследования, проведенныеCheck Point Research, раскрыли детали продолжающейся кампании “Stayin’ Alive”, активной по меньшей мере с 2021 года и нацеленной в основном на телекоммуникационную отрасль и государственные структуры в Азии. Первоначальные векторы заражения направлены на высокопрофильные организации в регионе, включая Казахстан, Узбекистан, Пакистан и Вьетнам. Недавний анализ показал, что данная кампания является частью более широкой угрозы для этого региона.
Основные инструменты кампании – это загрузчики и установщики вредоносного ПО, предназначенные для компрометации систем организаций и эксфильтрации данных. Исследование выявило, что инструментарий кампании характеризуется простотой использования и широким диапазоном вариантов, что свидетельствует о его одноразовом характере для загрузки и запуска дополнительных полезных нагрузок и, вероятно, в основном используются для получения первоначального доступа к системам.
Инструменты не имеют явных связей с разработками известных хакерских группировок, но все они связаны с одной и той же инфраструктурой, которая, в свою очередь, ассоциирована с ToddyCat – угрозой, имеющей связь с Китаем и функционирующей в азиатском регионе.
Важно отметить, что цепочка заражения начинается с фишингового электронного письма, отправленного в сентябре 2022 года вьетнамской телекоммуникационной компании, с ZIP-архивом во вложении. Тема письма переводится как “ИНСТРУКЦИИ ПО УПРАВЛЕНИЮ И ИСПОЛЬЗОВАНИЮ: ПРАВИЛА ПОЛЬЗОВАТЕЛЯ, что может указывать на целенаправленный характер кампании.
Архив содержит два файла – исполняемый файл “mDNSResponder.exe”, переименованным под тему электронного письма, и загруженная методом DLL Sideloading библиотека “dal_keepalives.dll”. Загрузка двух файлов получилась благодаря эксплуатации уязвимости CVE-2022-23748 (CVSS: 7.8) в программном обеспечении Audinate Dante Discovery.
После установки вредоносных файлов на устройства доставляются инструменты CurLu Loader, CurCore и CurLog Loader, каждый из которых имеет свои уникальные методы заражения и дальнейшей загрузки вредоносных полезных нагрузок. Основными функциями инструментов является эксфильтрация данных и установление постоянства.
Дополнительно было обнаружено несколько других инструментов, используемых в нападениях на те же цели. Это указывает на то, что кампания “Stayin’ Alive”, вероятно, представляет собой небольшую часть значительно более крупной операции, использующей множество в настоящее время неизвестных инструментов и методик.