Các tổ chức viễn thông và chính phủ cấp cao ở châu Á đã trở thành mục tiêu của một chiến dịch tấn công bắt đầu từ năm 2021. Chiến dịch này triển khai các backdoor và loader cơ bản và phát tán mã độc trong giai đoạn tiếp theo.
Công ty an ninh mạng Check Point theo dõi chiến dịch dưới tên Stayin’ Alive. Mục tiêu bao gồm các tổ chức ở Việt Nam, Uzbekistan, Pakistan và Kazakhstan.
Điều đáng chú ý về chiến dịch này là cơ sở hạ tầng trùng lặp với cơ sở hạ tầng được sử dụng bởi ToddyCat, nhóm hacker liên quan Trung Quốc được biết đến với các cuộc tấn công mạng nhắm vào các cơ quan chính phủ và quân sự ở Châu Âu và Châu Á ít nhất từ tháng 12/2020.
Chuỗi tấn công bắt đầu bằng một email phishing với file đính kèm ZIP. File này chứa tệp thực thi sử dụng DLL side-loading để tải một backdoor có tên CurKeep. CurlKeep được thiết kế để gửi thông tin về máy chủ bị xâm nhập đến máy chủ từ xa do hacker kiểm soát, thực thi các lệnh và ghi phản hồi vào một tệp trên hệ thống.
Kiểm tra kỹ hơn cơ sở hạ tầng C2, các chuyên gia phát hiện nhiều biến thể loader không ngừng phát triển có tên CurLu, CurCore và CurLog, có khả năng nhận các tệp DLL, thực thi các lệnh từ xa…
Bên cạnh đó, một bộ cài có tên StylerServ cũng được phát hiện. Bộ cài này nghe trên năm cổng khác nhau (60810, 60811, 60812, 60813 và 60814) để nhận kết nối từ xa và tệp cấu hình được mã hóa.
Mặc dù không có bằng chứng thuyết phục về mối liên hệ giữa Stayin’ Alive và ToddyCat, nhưng các phát hiện cho thấy cả hai nhóm sử dụng cùng một cơ sở hạ tầng và nhắm tới các mục tiêu tương tự.
Nguồn: The Hacker News